{"id":584386,"date":"2023-01-31T12:06:34","date_gmt":"2023-01-31T14:06:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/vous-ne-savez-pas-ou-sont-vos-secrets\/"},"modified":"2023-01-31T12:06:36","modified_gmt":"2023-01-31T14:06:36","slug":"vous-ne-savez-pas-ou-sont-vos-secrets","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/vous-ne-savez-pas-ou-sont-vos-secrets\/","title":{"rendered":"Vous ne savez pas o\u00f9 sont vos secrets"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Savez-vous o\u00f9 sont vos secrets ?  Sinon, je peux vous dire : vous n&#8217;\u00eates pas seul.<\/p>\n<p>Des centaines de CISO, CSO et responsables de la s\u00e9curit\u00e9, qu&#8217;ils soient de petites ou de grandes entreprises, ne le savent pas non plus.  Peu importe la taille de l&#8217;organisation, les certifications, les outils, les personnes et les processus : les secrets ne sont pas visibles dans 99 % des cas.<\/p>\n<p>Cela peut sembler ridicule au premier abord : garder des secrets est une premi\u00e8re pens\u00e9e \u00e9vidente lorsque l&#8217;on pense \u00e0 la s\u00e9curit\u00e9 dans le cycle de vie du d\u00e9veloppement.  Que ce soit dans le cloud ou sur site, vous savez que vos secrets sont stock\u00e9s en toute s\u00e9curit\u00e9 derri\u00e8re des portes rigides auxquelles peu de personnes peuvent acc\u00e9der.  Ce n&#8217;est pas seulement une question de bon sens puisqu&#8217;il s&#8217;agit \u00e9galement d&#8217;une exigence de conformit\u00e9 essentielle pour les audits de s\u00e9curit\u00e9 et les certifications.<\/p>\n<p>Les d\u00e9veloppeurs travaillant dans votre organisation sont bien conscients que les secrets doivent \u00eatre manipul\u00e9s avec un soin particulier.  Ils ont mis en place des outils et des proc\u00e9dures sp\u00e9cifiques pour cr\u00e9er, communiquer et faire pivoter correctement les identifiants humains ou machines.<\/p>\n<p>Pourtant, savez-vous o\u00f9 sont vos secrets ? <\/p>\n<p>Les secrets se r\u00e9pandent partout dans vos syst\u00e8mes, et plus rapidement que la plupart ne le pensent.  Les secrets sont copi\u00e9s et coll\u00e9s dans les fichiers de configuration, les scripts, le code source ou les messages priv\u00e9s sans trop de r\u00e9flexion.  Pensez-y\u00a0: un d\u00e9veloppeur code en dur une cl\u00e9 d&#8217;API pour tester un programme rapidement et accidentellement et envoie son travail sur un r\u00e9f\u00e9rentiel distant.  \u00cates-vous s\u00fbr que l&#8217;incident peut \u00eatre d\u00e9tect\u00e9 en temps opportun\u00a0?<\/p>\n<p>Des capacit\u00e9s d&#8217;audit et de correction insuffisantes sont quelques-unes des raisons pour lesquelles la gestion des secrets est difficile.  Ils sont \u00e9galement les moins pris en compte par les cadres de s\u00e9curit\u00e9.  Pourtant, ces zones grises, o\u00f9 des vuln\u00e9rabilit\u00e9s invisibles restent cach\u00e9es pendant longtemps, sont des trous flagrants dans vos couches de d\u00e9fense. <\/p>\n<p>Reconnaissant cette lacune, nous avons d\u00e9velopp\u00e9 un outil d&#8217;auto-\u00e9valuation pour \u00e9valuer la taille de cette inconnue.  Pour faire le point sur votre <em>r\u00e9el<\/em> posture de s\u00e9curit\u00e9 concernant les secrets de votre organisation, prenez cinq minutes pour r\u00e9pondre <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/secrets-management-maturity-questionnaire\" target=\"_blank\">les huit questions<\/a> (c&#8217;est compl\u00e8tement anonyme).<\/p>\n<p>Alors, combien faites-vous <em>ne pas<\/em> conna\u00eetre vos secrets? <\/p>\n<h2 style=\"text-align: left;\">Mod\u00e8le de maturit\u00e9 de la gestion des secrets<\/h2>\n<p>La bonne gestion des secrets est une tactique d\u00e9fensive cruciale qui n\u00e9cessite une certaine r\u00e9flexion pour \u00e9tablir une posture de s\u00e9curit\u00e9 compl\u00e8te.  Nous avons construit un cadre (vous pouvez trouver le livre blanc <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/files\/secrets-management-maturity-model\" target=\"_blank\">ici<\/a>) pour aider les responsables de la s\u00e9curit\u00e9 \u00e0 comprendre leur posture actuelle et \u00e0 adopter des pratiques de gestion des secrets d&#8217;entreprise plus matures en trois phases\u00a0:<\/p>\n<ol style=\"text-align: left;\">\n<li>\u00c9valuer les risques de fuite de secrets<\/li>\n<li>\u00c9tablir des workflows modernes de gestion des secrets<\/li>\n<li>Cr\u00e9er une feuille de route pour am\u00e9liorer les zones fragiles<\/li>\n<\/ol>\n<p>Le point fondamental abord\u00e9 par ce mod\u00e8le est que la gestion des secrets va bien au-del\u00e0 de la fa\u00e7on dont l&#8217;organisation stocke et distribue les secrets.  C&#8217;est un programme qui n&#8217;a pas besoin d&#8217;aligner les personnes, les outils et les processus, mais aussi de tenir compte de l&#8217;erreur humaine.  Les erreurs sont <em>ne pas<\/em> \u00e9vitable !  Leurs cons\u00e9quences sont.  C&#8217;est pourquoi les outils et politiques de d\u00e9tection et de rem\u00e9diation, ainsi que le stockage et la distribution des secrets, constituent les piliers de notre mod\u00e8le de maturit\u00e9.<\/p>\n<p>Le mod\u00e8le de maturit\u00e9 de la gestion des secrets prend en compte quatre surfaces d&#8217;attaque du cycle de vie DevOps\u00a0: <\/p>\n<ul style=\"text-align: left;\">\n<li>Environnements de d\u00e9veloppement<\/li>\n<li>R\u00e9f\u00e9rentiels de code source<\/li>\n<li>Pipelines et artefacts CI\/CD<\/li>\n<li>Environnements d&#8217;ex\u00e9cution<\/li>\n<\/ul>\n<p>Nous avons ensuite construit une mont\u00e9e en maturit\u00e9 sur cinq niveaux, allant de 0 (Non initi\u00e9) \u00e0 4 (Expert).  Passer de 0 \u00e0 1 consiste principalement \u00e0 \u00e9valuer les risques pos\u00e9s par les pratiques de d\u00e9veloppement de logiciels non s\u00e9curis\u00e9es et \u00e0 commencer \u00e0 auditer les actifs num\u00e9riques pour les informations d&#8217;identification cod\u00e9es en dur.  Au niveau interm\u00e9diaire (niveau 2), l&#8217;analyse des secrets est plus syst\u00e9matique et les secrets sont prudemment partag\u00e9s tout au long du cycle de vie DevOps.  Les niveaux 3 (avanc\u00e9) et 4 (expert) sont ax\u00e9s sur l&#8217;att\u00e9nuation des risques avec des politiques plus claires, de meilleurs contr\u00f4les et une responsabilit\u00e9 partag\u00e9e accrue pour la r\u00e9solution des incidents.<\/p>\n<p>Une autre consid\u00e9ration essentielle pour ce framework est que rendre difficile l&#8217;utilisation des secrets dans un contexte DevOps conduira in\u00e9vitablement au contournement des couches de protection en place.  Comme pour tout le reste en mati\u00e8re de s\u00e9curit\u00e9, les r\u00e9ponses se situent entre protection et flexibilit\u00e9.  C&#8217;est pourquoi l&#8217;utilisation d&#8217;un gestionnaire de coffre-fort\/secrets ne commence qu&#8217;au niveau interm\u00e9diaire.  L&#8217;id\u00e9e est que l&#8217;utilisation d&#8217;un gestionnaire de secrets ne doit pas \u00eatre consid\u00e9r\u00e9e comme une solution autonome mais comme une couche de d\u00e9fense suppl\u00e9mentaire.  Pour \u00eatre efficace, il n\u00e9cessite que d&#8217;autres processus, comme l&#8217;analyse continue des demandes d&#8217;extraction, soient suffisamment matures.<\/p>\n<p>Voici quelques questions que ce mod\u00e8le devrait soulever afin de vous aider \u00e0 \u00e9valuer votre maturit\u00e9 : \u00e0 quelle fr\u00e9quence vos secrets de production sont-ils tourn\u00e9s ?  Est-il facile de faire tourner les secrets\u00a0?  Comment les secrets sont-ils distribu\u00e9s lors des phases de d\u00e9veloppement, d&#8217;int\u00e9gration et de production\u00a0?  Quelles mesures sont mises en place pour emp\u00eacher la diffusion non s\u00e9curis\u00e9e des informations d&#8217;identification sur les machines locales\u00a0?  Les informations d&#8217;identification des pipelines CI\/CD respectent-elles le principe des moindres privil\u00e8ges\u00a0?  Quelles sont les proc\u00e9dures en place lorsque (pas si) des secrets sont divulgu\u00e9s\u00a0?<\/p>\n<p>La r\u00e9vision de votre posture de gestion des secrets devrait \u00eatre une priorit\u00e9 en 2023. Premi\u00e8rement, toute personne travaillant avec du code source doit g\u00e9rer des secrets, sinon quotidiennement, au moins de temps en temps.  Les secrets ne sont plus l&#8217;apanage des ing\u00e9nieurs en s\u00e9curit\u00e9 ou DevOps.  Ils sont requis par de plus en plus de personnes, des ing\u00e9nieurs ML, des scientifiques des donn\u00e9es, des produits, des op\u00e9rations et bien plus encore.  Deuxi\u00e8mement, si vous ne trouvez pas o\u00f9 se trouvent vos secrets, les pirates le feront.<\/p>\n<h2 style=\"text-align: left;\">Les pirates trouveront vos secrets<\/h2>\n<p>Les risques pos\u00e9s aux organisations qui n&#8217;adoptent pas des pratiques matures de gestion des secrets ne peuvent \u00eatre surestim\u00e9s.  Les environnements de d\u00e9veloppement, les r\u00e9f\u00e9rentiels de code source et les pipelines CI\/CD sont devenus les cibles pr\u00e9f\u00e9r\u00e9es des pirates, pour qui les secrets sont une porte d&#8217;entr\u00e9e vers les mouvements lat\u00e9raux et la compromission. <\/p>\n<p>Des exemples r\u00e9cents mettent en \u00e9vidence la fragilit\u00e9 de la gestion des secrets m\u00eame dans les organisations les plus matures technologiquement.<\/p>\n<p>En septembre 2022, un attaquant a eu acc\u00e8s au r\u00e9seau interne d&#8217;Uber, o\u00f9 il a trouv\u00e9 des informations d&#8217;identification d&#8217;administrateur cod\u00e9es en dur sur un lecteur r\u00e9seau.  Les secrets ont \u00e9t\u00e9 utilis\u00e9s pour se connecter \u00e0 la plate-forme de gestion des acc\u00e8s privil\u00e9gi\u00e9s d&#8217;Uber, o\u00f9 de nombreuses autres informations d&#8217;identification en clair \u00e9taient stock\u00e9es dans des fichiers et des scripts.  L&#8217;attaquant a ensuite pu prendre le contr\u00f4le des comptes d&#8217;administrateur dans AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne, etc.<\/p>\n<p>En ao\u00fbt de la m\u00eame ann\u00e9e, le gestionnaire de mots de passe LastPass a \u00e9t\u00e9 victime d&#8217;un attaquant qui a acc\u00e9d\u00e9 \u00e0 son environnement de d\u00e9veloppement en volant les informations d&#8217;identification d&#8217;un d\u00e9veloppeur de logiciels et en se faisant passer pour cet individu.  Plus tard en d\u00e9cembre, la soci\u00e9t\u00e9 a r\u00e9v\u00e9l\u00e9 que quelqu&#8217;un avait utilis\u00e9 ces informations pour voler le code source et les donn\u00e9es des clients.<\/p>\n<p>En effet, en 2022, les fuites de code source se sont r\u00e9v\u00e9l\u00e9es \u00eatre un v\u00e9ritable champ de mines pour les organisations : NVIDIA, Samsung, Microsoft, Dropbox, Okta et Slack, entre autres, ont \u00e9t\u00e9 victimes de fuites de code source.  En mai, nous alertions sur le volume important d&#8217;identifiants qui pourraient \u00eatre r\u00e9colt\u00e9s en analysant ces codebases.  Arm\u00e9s de ceux-ci, les attaquants peuvent gagner en influence et pivoter vers des centaines de syst\u00e8mes d\u00e9pendants dans ce que l&#8217;on appelle <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/glossary\/why-is-software-supply-chain-security-critical\" target=\"_blank\">attaques de la cha\u00eene d&#8217;approvisionnement<\/a>.<\/p>\n<p>Enfin, encore plus r\u00e9cemment, en janvier 2023, le fournisseur d&#8217;int\u00e9gration continue CircleCI a \u00e9galement \u00e9t\u00e9 pirat\u00e9, entra\u00eenant la compromission de centaines de variables, de jetons et de cl\u00e9s d&#8217;environnement client.  La soci\u00e9t\u00e9 a exhort\u00e9 ses clients \u00e0 modifier imm\u00e9diatement leurs mots de passe, cl\u00e9s SSH ou tout autre secret stock\u00e9 ou g\u00e9r\u00e9 par la plateforme.  Pourtant, les victimes doivent savoir o\u00f9 se trouvent ces secrets et comment ils sont utilis\u00e9s pour appuyer sur le bouton d&#8217;urgence\u00a0!<\/p>\n<p>C&#8217;\u00e9tait un argument solide pour avoir un plan d&#8217;urgence pr\u00eat \u00e0 l&#8217;emploi.<\/p>\n<p>La le\u00e7on de tous ces incidents est que les attaquants ont r\u00e9alis\u00e9 que compromettre l&#8217;identit\u00e9 des machines ou des humains donne un meilleur retour sur investissement.  Ce sont tous des signes avant-coureurs de l&#8217;urgence <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/why-its-urgent-to-deal-with-your-hard-coded-credentials\/\" target=\"_blank\">pour g\u00e9rer les informations d&#8217;identification cod\u00e9es en dur<\/a> et de d\u00e9poussi\u00e9rer la gestion des secrets en g\u00e9n\u00e9ral.<\/p>\n<h2 style=\"text-align: left;\">Dernier mot<\/h2>\n<p>Nous avons un dicton en cybers\u00e9curit\u00e9\u00a0: &#8220;le chiffrement est facile, mais la gestion des cl\u00e9s est difficile&#8221;.  Cela est toujours vrai aujourd&#8217;hui, m\u00eame s&#8217;il ne s&#8217;agit plus seulement de cl\u00e9s de chiffrement.  Notre monde de services hyper-connect\u00e9s repose sur des centaines de types de cl\u00e9s, ou secrets, pour fonctionner correctement.  Ceux-ci pourraient \u00eatre autant de vecteurs d&#8217;attaque potentiels s&#8217;ils sont mal g\u00e9r\u00e9s. <\/p>\n<p>Savoir o\u00f9 se trouvent vos secrets, non seulement en th\u00e9orie mais en pratique, et comment ils sont utilis\u00e9s tout au long de la cha\u00eene de d\u00e9veloppement logiciel est crucial pour la s\u00e9curit\u00e9.  Pour vous aider, nous avons cr\u00e9\u00e9 un mod\u00e8le de maturit\u00e9 portant sp\u00e9cifiquement sur la distribution des secrets, la d\u00e9tection des fuites, le processus de correction et les habitudes de rotation. <\/p>\n<p>La premi\u00e8re \u00e9tape consiste toujours \u00e0 obtenir un audit clair de la posture de s\u00e9curit\u00e9 de l&#8217;organisation concernant les secrets : o\u00f9 et comment sont-ils utilis\u00e9s ?  O\u00f9 fuient-ils ?  Comment se pr\u00e9parer au pire ?  Cela seul pourrait s&#8217;av\u00e9rer \u00eatre une bou\u00e9e de sauvetage dans une situation d&#8217;urgence.  D\u00e9couvrez o\u00f9 vous en \u00eates avec le <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/secrets-management-maturity-questionnaire\" target=\"_blank\">questionnaire<\/a> et apprenez o\u00f9 aller \u00e0 partir de l\u00e0 avec le <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/files\/secrets-management-maturity-model\" target=\"_blank\">papier blanc<\/a>.<\/p>\n<p>Dans le sillage des r\u00e9centes attaques contre les environnements de d\u00e9veloppement et les outils m\u00e9tiers, les entreprises qui veulent se d\u00e9fendre efficacement doivent veiller \u00e0 ce que les zones grises de leur cycle de d\u00e9veloppement soient d\u00e9gag\u00e9es au plus vite.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/you-dont-know-where-your-secrets-are.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Savez-vous o\u00f9 sont vos secrets ? Sinon, je peux vous dire : vous n&#8217;\u00eates pas seul. Des centaines de CISO, CSO et responsables de la s\u00e9curit\u00e9, qu&#8217;ils soient de petites ou de grandes entreprises, ne le savent pas non plus. Peu importe la taille de l&#8217;organisation, les certifications, les outils, les personnes et les processus [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":584387,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,4157,4159,4171,4170,4167,4160,4163,4162,4418,132,8919,5256,4172,4169,317,4166,690,188,4164],"class_list":["post-584386","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ou","tag-pas","tag-savez","tag-secrets","tag-securite-informatique","tag-securite-internet","tag-sont","tag-violation-de-donnees","tag-vos","tag-vous","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/584386","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=584386"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/584386\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/584387"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=584386"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=584386"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=584386"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}