Il y a moins d’un mois, Twitter a indirectement reconnu qu’une partie de son code source avait été divulgué sur la plateforme de partage de code GitHub en envoyant un avis de violation du droit d’auteur pour supprimer le référentiel incriminé. Ce dernier est désormais inaccessible, mais selon les médias, il était accessible au public depuis plusieurs mois. Un utilisateur du nom de FreeSpeechEnthousiast a commis des milliers de documents appartenant à la plateforme de médias sociaux pendant plusieurs mois.
Bien qu’il n’y ait aucune preuve concrète pour étayer cette hypothèse, le moment de la fuite et le nom d’utilisateur ironique utilisé par l’auteur suggèrent que la fuite était un acte délibéré visant à nuire à l’entreprise.
Bien qu’il soit encore trop tôt pour mesurer l’impact de cette fuite sur la santé de Twitter, cet incident devrait être l’occasion pour tous les éditeurs de logiciels de se poser une question simple : et si cela nous arrivait ?
La protection des informations sensibles dans l’industrie du logiciel devient de plus en plus critique à mesure que la fréquence et l’impact des violations et des fuites de données continuent d’augmenter. Avec le recours croissant aux logiciels, la quantité d’informations sensibles stockées sous forme numérique ne cesse d’augmenter.
Il y a environ un an, le gang de piratage Lapsus$ a fait la une des journaux pour avoir divulgué publiquement le code source de certains des plus grands noms de la technologie. Les trophées du groupe comprenaient près de 200 Go de code source de Samsung, le code source de la technologie DLSS de Nvidia et 250 projets internes de Microsoft. Plusieurs autres éditeurs de logiciels ont également été ciblés, leurs bases de code tombant entre de mauvaises mains : LastPass, Dropbox, Okta et Slack ont tous révélé qu’une partie de leur code avait été compromise.
Un trésor d’informations sensibles
Le code source contient une multitude d’informations sensibles, et cela inclut, la plupart du temps, des secrets codés en dur tels que des mots de passe, des clés API et des clés privées de certificats. Ces informations sont souvent stockées en texte brut dans le code source, ce qui en fait une cible attrayante pour les attaquants.
Il existe de nombreux risques potentiels associés à une fuite de code source privé, mais les secrets exposés sont peut-être les plus préoccupants : dans le Étalement de l’état des secrets 2023, la plus grande analyse de l’activité publique de GitHub, GitGuardian a signalé 10 millions de secrets nouvellement exposés rien qu’en 2022, un nombre stupéfiant qui a augmenté de 67 % d’une année sur l’autre. Le phénomène s’explique en grande partie par le fait qu’il est très facile lors de l’utilisation du contrôle de version comme Git de publier par erreur des secrets codés en dur enfouis dans l’historique des commits. Mais des intentions malveillantes peuvent aussi être à l’origine de la divulgation d’informations confidentielles.
Lorsqu’un fuite de code source se produit, ces secrets peuvent être exposés, permettant aux attaquants d’accéder aux systèmes et aux données. Les secrets dans le code sont un problème particulièrement important. Ils permettent à un attaquant d’agir rapidement pour exploiter un certain nombre de systèmes, ce qui rend plus difficile pour les organisations de contenir les dégâts. Malheureusement, le code source interne est un atout très fuyant. Il est largement accessible par les développeurs de toute l’entreprise, sauvegardé sur différents serveurs et même stocké sur les machines locales des développeurs. C’est l’une des raisons pour lesquelles il est si crucial de s’assurer qu’aucun secret n’est révélé en premier lieu.
Outre le risque d’activité malveillante, les erreurs commises par les développeurs peuvent également mettre les entreprises en danger. Par exemple, des fuites de code accidentelles peuvent se produire en raison de la manière dont GitHub a conçu son offre d’entreprise/organisation. Il est donc difficile pour les organisations d’empêcher les fuites accidentelles et, inversement, il est trop facile pour les développeurs de faire des erreurs.
Les failles logiques exposées sont également préoccupantes. Il peut y avoir des vulnérabilités dans la façon dont les applications logicielles gèrent les fonctions et les données qui pourraient être présentes dans le code source. Lorsque le code source est exposé, les attaquants peuvent l’analyser pour ces vulnérabilités et les exploiter pour obtenir un accès non autorisé. Il en va de même pour l’architecture des applications. Souvent, les organisations s’attendent à ce que l’architecture de leurs applications soit cachée, un concept appelé sécurité par l’obscurité. Lorsque le code source est exposé, il peut conduire les attaquants à une carte du fonctionnement des applications, leur donnant la possibilité de trouver des actifs cachés.
Il est temps d’agir : protégez votre code source
Le problème n’est pas nouveau et de nombreux acteurs de l’industrie de la sécurité tirent la sonnette d’alarme depuis un certain temps. Cependant, les initiatives récentes de l’administration Biden visant à renforcer la cyber-résilience des infrastructures et des PME ont accru l’attention portée à la responsabilité des éditeurs de logiciels. À mesure que la cybersécurité deviendra une priorité nationale, il y aura une pression accrue pour promouvoir des pratiques de développement sécurisées et façonner les forces du marché pour donner la priorité à la protection des informations sensibles.
Alors, que peuvent faire les éditeurs de logiciels pour protéger leur code source et leurs informations sensibles ? Avant tout, ils doivent reconnaître les risques potentiels et prendre les mesures appropriées pour les atténuer. Cela inclut la mise en œuvre de mesures de sécurité pour se protéger contre les activités malveillantes et s’assurer que les secrets codés en dur ne sont pas stockés en texte brut dans le code source.
Cependant, plusieurs approches sont nécessaires pour protéger les informations sensibles dans l’industrie du logiciel. L’utilisation d’une combinaison de solutions de gestion des secrets, de pratiques de codage sécurisées et de détection automatisée des secrets peut fournir une stratégie de sécurité complète.
La détection des secrets implique l’analyse du code source et d’autres actifs numériques à la recherche de secrets codés en dur, alertant les développeurs des vulnérabilités potentielles que les attaquants pourraient exploiter. Grâce à cette approche proactive, les entreprises peuvent mieux protéger leurs informations sensibles et identifier les risques de sécurité potentiels plus tôt dans le cycle de vie du développement logiciel.
La combinaison d’une solution de détection de secrets avec des pratiques de gestion des secrets et de codage sécurisé fournit une approche de sécurité en couches qui peut aider à atténuer les risques associés aux fuites de code source et à d’autres vulnérabilités potentielles.
En plus de ces mesures techniques, il est également important de s’assurer que les employés sont formés et sensibilisés aux meilleures pratiques en matière de cybersécurité. Cela comprend des programmes réguliers de formation et de sensibilisation pour s’assurer que les employés sont conscients des risques et savent comment protéger les informations sensibles.
Sécurité continue
Dans l’ensemble, la protection du code source et des informations sensibles est un problème critique pour les éditeurs de logiciels. Alors que la fréquence des activités malveillantes et des fuites accidentelles continue d’augmenter, il est essentiel que les fournisseurs prennent des mesures pour atténuer les risques et protéger les données de leurs clients. En mettant en œuvre des pratiques de codage sécurisées, en utilisant des solutions de gestion des secrets et en proposant des programmes de formation et de sensibilisation des employés, les fournisseurs peuvent contribuer à l’amélioration continue des pratiques de développement logiciel à long terme.
Il est important de noter que la protection du code source et des informations sensibles n’est pas un événement ponctuel. C’est un processus continu qui demande une attention et une vigilance constantes. Les éditeurs de logiciels doivent surveiller en permanence leurs systèmes pour détecter les vulnérabilités potentielles et s’assurer que leurs mesures de sécurité sont à jour.
Si vous souhaitez améliorer les pratiques de gestion des secrets de votre organisation, nous vous encourageons à suivre notre questionnaire de gestion des secrets (anonyme) pour évaluer votre situation particulière. Cinq minutes suffisent pour obtenir un aperçu rapide des forces et des faiblesses de votre organisation et vous lancer sur la voie d’une meilleure sécurité.
Assurez-vous que vos informations sensibles sont protégées et que la confiance de vos clients est préservée.