Petits secrets biens gardés sur GitHub

Posted On 12 Mai 2023

Tag: GitHub Advanced Security, Secret Scanning

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

GitHub a récemment ajouté une nouvelle fonctionnalité appelée Secret Scanning, conçue spécifiquement pour aider les développeurs à protéger leurs secrets au sein de leur code. Cette fonctionnalité vise à détecter et à bloquer les fuites de jetons, de clés et d’autres informations sensibles qui pourraient se trouver dans les référentiels de code.

La première chose à noter est que l’analyse secrète fonctionne automatiquement sur tous les référentiels publics, y compris les packages npm. Cela signifie que même si vous travaillez sur un projet open source accessible à tous, GitHub s’assurera de détecter tout secret potentiellement exposé.

De plus, les organisations qui utilisent GitHub Enterprise Cloud avec une licence GitHub Advanced Security ont la possibilité d’activer l’analyse secrète sur leurs référentiels privés et internes. Cela leur permet de bénéficier de la même protection pour leurs projets sensibles et confidentiels.

Comment fonctionne cette analyse secrète ? Lorsque vous activez cette fonctionnalité, GitHub examine le code de votre référentiel à la recherche de modèles correspondant à des secrets couramment utilisés par de nombreux fournisseurs de services. Il peut s’agir de jetons d’API, de clés d’accès, de mots de passe, ou d’autres informations similaires qui, s’ils sont exposés, pourraient être exploités par des personnes malveillantes.

Détecter, alerter !

Lorsque GitHub détecte un secret pris en charge dans votre code, il génère une alerte pour vous en informer. Un peu comme le Service Veille ZATAZ avec vos données potentiellement perdus/piratés ! Il existe deux types d’alertes générées par Secret Scanning : celles destinées aux partenaires et celles destinées aux utilisateurs.

Les alertes destinées aux partenaires sont envoyées directement au fournisseur de services concerné. Cela signifie que si vous utilisez un service tiers et que vous avez accidentellement exposé des informations sensibles le concernant, GitHub informera directement le fournisseur de ce problème de sécurité. Ainsi, le fournisseur peut prendre les mesures nécessaires pour protéger le secret divulgué et éviter toute exploitation.

Les alertes destinées aux utilisateurs sont affichées dans l’onglet Sécurité de votre référentiel. Lorsque vous recevez une telle alerte, GitHub vous fournit des recommandations spécifiques pour corriger la vulnérabilité détectée. Ces recommandations peuvent inclure des conseils sur la manière de supprimer le secret exposé, de le remplacer par une version sécurisée ou de modifier les paramètres de sécurité de votre référentiel.

Il est essentiel de comprendre l’importance de cette fonctionnalité dans le contexte des fuites de données sur GitHub. Bien que GitHub fournisse un environnement sécurisé pour héberger des projets de développement, il est toujours possible que des développeurs commettent des erreurs accidentelles qui exposent des informations sensibles. Par exemple, des clés d’accès API peuvent être intégrées par mégarde dans le code source, et ces erreurs peuvent potentiellement conduire à des fuites de données.

Les fuites qui peuvent piquer !

Il y a eu plusieurs exemples notables de fuites de données sur GitHub dans le passé. Par exemple, des développeurs ont accidentellement téléversé des fichiers de configuration contenant des secrets tels que des clés d’accès à des services cloud populaires ou des informations d’identification sensibles. Ces fuites de données ont été exploitées par des attaquants, compromettant ainsi la sécurité des systèmes et des utilisateurs concernés.

Un exemple courant de fuite de données sur GitHub concerne les clés d’accès API. Les développeurs utilisent souvent des clés d’accès pour se connecter à des services tiers tels que des services de stockage cloud, des fournisseurs de bases de données ou des plateformes de paiement. Si ces clés d’accès sont accidentellement exposées dans un référentiel GitHub public, cela ouvre la porte à des attaquants potentiels qui peuvent les utiliser pour accéder, modifier ou voler des données sensibles.

Dans un autre cas, des identifiants d’authentification tels que des noms d’utilisateur et des mots de passe ont été inclus dans des fichiers de configuration et téléchargés sur GitHub. Ces informations permettent aux utilisateurs d’accéder à des systèmes internes ou à des comptes privilégiés. Lorsque ces identifiants sont divulgués, des personnes malveillantes peuvent les exploiter pour se connecter à des comptes sensibles et accéder à des informations confidentielles.

Il y a également eu des cas où des fichiers de configuration contenant des informations sensibles, comme des adresses IP, des adresses de serveurs, des noms de domaine ou des clés de chiffrement, ont été téléchargés sur des référentiels GitHub publics. Ces informations peuvent donner aux attaquants des indices sur l’infrastructure d’un système et leur permettre de cibler des vulnérabilités spécifiques pour mener des attaques ciblées.

Ces exemples soulignent l’importance de la fonctionnalité Secret Scanning de GitHub. En identifiant et en bloquant les fuites de données potentielles, cette fonctionnalité aide les développeurs à maintenir la confidentialité et la sécurité de leurs projets. Il est essentiel pour les développeurs de prendre des mesures proactives pour protéger les secrets et les informations sensibles dans leur code, en utilisant des pratiques de sécurité telles que le stockage des clés d’accès dans des variables d’environnement sécurisées, l’utilisation de fichiers de configuration exclus des référentiels et l’adoption de bonnes pratiques de gestion des secrets.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.