L’atout le plus précieux à l’ère de l’information d’aujourd’hui est le secret protégé sous clé. Malheureusement, la conservation des secrets est devenue de plus en plus difficile, comme le soulignent les Étalement de l’état des secrets 2023 rapport, la plus grande analyse de l’activité publique de GitHub.
Le rapport montre une Augmentation de 67 % d’une année sur l’autre du nombre de secrets trouvés, avec 10 millions de secrets codés en dur détectés en 2022 seulement. Cette augmentation alarmante de l’étalement des secrets met en évidence la nécessité d’agir et souligne l’importance du développement de logiciels sécurisés.
La prolifération des secrets fait référence aux secrets apparaissant en clair dans diverses sources, telles que le code source, les scripts de construction, l’infrastructure en tant que code, les journaux, etc. Alors que les secrets tels que les jetons d’API et les clés privées connectent en toute sécurité les composants de la chaîne d’approvisionnement logicielle moderne, leur distribution généralisée entre les développeurs, les machines, les applications et les systèmes d’infrastructure augmente la probabilité de fuites.
Les incidents de cybersécurité mettent en évidence les dangers des secrets codés en dur
Deux incidents de cybersécurité très médiatisés impliquant Uber et Toyota ont souligné le besoin urgent de résoudre le problème de la prolifération des secrets et de donner la priorité à la sécurité du code. À mesure que la sensibilisation à ce problème augmente, il est impératif pour les entreprises de donner la priorité à la protection des secrets et d’investir dans des solutions innovantes qui détectent et corrigent les menaces potentielles.
Uber a subi une attaque au cours de laquelle un attaquant a eu accès à des systèmes critiques à l’aide d’informations d’identification d’administrateur codées en dur trouvées dans un script PowerShell. En revanche, Toyota a exposé par inadvertance des informations d’identification permettant d’accéder aux données des clients dans un référentiel GitHub public pendant près de cinq ans. Les deux incidents rappellent de manière flagrante les risques associés à la prolifération des secrets. De plus, comme le souligne le rapport, la plupart des incidents de sécurité impliquent, à un moment donné, des secrets : il peut s’agir de clés exploitées par des attaquants ou exposées via une fuite de code source, par exemple.
Un angle mort majeur dans la sécurité des applications
Avec 1 auteur de code sur 10 exposant un secret en 2022, il est évident que ce problème transcende les niveaux d’expérience et afflige les développeurs à tous les niveaux.
La gestion des secrets attire de plus en plus l’attention alors que de plus en plus d’organisations examinent les processus de leur chaîne d’approvisionnement logicielle à la suite d’une série de failles de sécurité très médiatisées. Les équipes de cybersécurité se sont traditionnellement concentrées sur l’identification des vulnérabilités plutôt que sur la découverte d’informations d’identification mal sécurisées. Par conséquent, d’innombrables applications exécutées dans des environnements de production peuvent avoir des problèmes de gestion des secrets non découverts.
Dans un scénario parfait, l’adoption des meilleures pratiques DevSecOps résoudrait ce problème croissant. Pourtant, avec l’expansion constante des référentiels de code, des erreurs plus basiques apparaissent. Reconnaissant les vulnérabilités de la chaîne d’approvisionnement logicielle, les cybercriminels analysent de manière proactive les référentiels pour trouver des secrets qui pourraient faciliter les violations d’applications.
Le problème va probablement s’aggraver à mesure que les attaques contre les chaînes d’approvisionnement en logiciels devraient s’intensifier. À mesure que la technologie progresse et que le code devient plus étroitement lié à notre vie quotidienne, les risques associés à la prolifération des secrets deviennent plus pressants.
L’attention accrue portée à la sécurisation des chaînes d’approvisionnement en logiciels, en particulier à la lumière de la stratégie nationale de cybersécurité de l’administration Biden, devrait inciter davantage d’organisations informatiques à mettre en œuvre des mesures de sécurité de bout en bout dans leurs cycles de vie de développement de logiciels. En conséquence, les équipes DevOps doivent anticiper une concentration accrue sur la gestion des secrets de la part des experts en cybersécurité.
Adopter des mesures proactives pour atténuer les risques de prolifération des secrets
Pour lutter contre cette menace croissante, les entreprises doivent accorder la priorité à la protection de leurs secrets et investir dans des solutions de détection et de traitement des vulnérabilités potentielles.
La croissance continue du paradigme du tout sous forme de code et la banalisation de l’infrastructure et des services numériques signifient que les logiciels, le code et les secrets ne feront que devenir plus critiques dans leurs opérations commerciales quotidiennes.
Le risque d’exposition des secrets ne peut pas être entièrement éliminé, même avec des systèmes centralisés de gestion des secrets. Mais il peut être atténué en s’attaquant aux mauvaises pratiques d’hygiène secrètes et en mettant en œuvre des manuels de remédiation.
Pour mesurer ce qu’un programme de détection et de correction des secrets pourrait apporter à votre organisation, vous pouvez utiliser notre outil gratuit Calculateur de valeur estimer le coût probable de pas faire face à une dette de sécurité composée de milliers de secrets codés en dur aujourd’hui.
En apprenant à vivre avec ce problème et en mettant en place les bons outils et ressources, les entreprises peuvent réduire considérablement les risques associés à secrets divulgués et exploités.
En conclusion, la prolifération des secrets est une menace croissante nécessitant l’attention immédiate des organisations. Avec les bons outils et stratégies en place, les entreprises peuvent atténuer les risques associés aux secrets divulgués et exploités. Il est temps de donner la priorité à la gestion des secrets et d’investir dans des solutions innovantes pour garantir la sécurité de nos secrets.
Dans un monde où l’information est synonyme de pouvoir, il est temps d’agir et de s’assurer que nos secrets restent en sécurité sous clé.
