Près de 40 millions de secrets ont été exposés sur GitHub en 2024. GitHub muscle sa riposte avec de nouveaux outils de sécurité.
En 2024, GitHub a détecté plus de 39 millions de fuites de secrets sur sa plateforme. Un chiffre vertigineux qui met en lumière une réalité trop souvent minimisée : les secrets exposés (clés API, jetons d’accès, mots de passe, etc.) sont une porte d’entrée royale pour les cyberattaquants. Face à cette menace croissante, GitHub annonce une évolution majeure de ses dispositifs de sécurité.
Des fuites qui prolifèrent avec la vitesse du développement
Chaque jour, des millions de lignes de code sont poussées sur GitHub. Et avec elles, des secrets. Par erreur, par facilité ou par méconnaissance, ces informations critiques se retrouvent trop souvent en clair dans les dépôts.
Plus surprenant encore, une partie non négligeable de ces expositions résulte d’actes volontaires de développeurs, pensant à tort que leurs répértoires sont suffisamment privés. D’autres incidents proviennent de manipulations malheureuses, comme rendre public un répertoire par inadvertance ou oublier une révocation de jeton.
Les attaquants, eux, sont à l’affût. Un seul secret compromis peut suffire à initier un mouvement latéral vers des systèmes critiques. D’autant que les identifiants « longue durée » peuvent rester actifs plusieurs mois, voire années.
Une défense renforcée par GitHub Advanced Security
Face à l’ampleur du phénomène, GitHub renforce sa stratégie. Sa solution Advanced Security s’enrichit de deux composants phares : Secret Protection et Code Security, désormais disponibles en produits indépendants pour les organisations de toutes tailles.
Le pilier de cette protection reste le push protection, activé par défaut sur les dépôts publics. Ce mécanisme bloque automatiquement les secrets identifiés avant même qu’ils ne soient poussés. Il s’appuie sur des détecteurs co-conçus avec des fournisseurs comme AWS, Google Cloud ou OpenAI, garantissant une précision élevée et peu de faux positifs.
Scanner, alerter, réagir : des outils gratuits pour tous
GitHub propose désormais un scan ponctuel gratuit pour toutes les organisations. Cette analyse couvre l’ensemble des dépôts, même privés ou archivés, et identifie les secrets déjà exposés. Aucun secret n’est stocké : les résultats livrent un diagnostic clair, accompagné d’actions concrètes à mener.
En cas de détection, GitHub envoie une alerte à l’émetteur du secret (via ses partenaires) pour qu’il puisse révoquer, restreindre ou mettre en quarantaine les accès.
Pour les petites équipes, ces outils étaient jusqu’ici inaccessibles sans souscrire à GitHub Enterprise. Ce n’est plus le cas : ils sont intégrés aux offres Team et disponibles en add-on.
Bonnes pratiques et automatisation : les clés d’une protection durable
À l’heure où les fuites se multiplient, la meilleure parade reste la prévention. Cela commence par des bonnes pratiques de gestion de secrets : principe du moindre privilège, génération sécurisée, rotation régulière et révocation rapide.
Mais la véritable clé réside dans l’automatisation. Moins il y a d’interventions humaines, moins le risque d’erreur est élevé. Des outils comme GitHub Copilot participent aussi à la détection précoce de secrets non structurés, tels que les mots de passe enfouis dans le code.
Enfin, pour les CISO et RSSI, l’intégration de ces contrôles dans les pipelines CI/CD, associée à une gouvernance stricte des dérogations, devient essentielle pour réduire durablement le risque.
Pour rappel, un pipeline CI/CD (pour « Continuous Integration / Continuous Deployment ») est un processus automatisé qui enchaîne les étapes du développement logiciel : tests, analyses, validations et déploiement. Dans ce cadre, des outils comme la détection de secrets peuvent être intégrés pour bloquer toute fuite avant même que le code ne soit mis en production. C’est un levier majeur de sécurité, car il permet d’assurer un contrôle continu, fiable et reproductible du code livré.
Les secrets ne devraient jamais quitter le coffre. Et GitHub profite dans son article référencé ci-dessous de bien le rappeler.
Pour en savoir plus
GitHub a découvert 39 millions de fuites secrètes en 2024. Voici ce que nous faisons pour vous aider.
Si vous savez où chercher, les secrets exposés sont faciles à trouver. Les secrets sont censés empêcher tout accès non autorisé, mais entre de mauvaises mains, ils peuvent être exploités en quelques secondes, et c’est généralement le cas. Pour vous donner une idée de l’ampleur de…
(Re)découvrez également:
Fausses étoiles sur GitHub : un risque croissant pour les développeurs
GitHub fait face à un problème de fausses étoiles, augmentant les risques de malwares et compromettant la confiance des utilisateurs dans les projets.
