{"id":815946,"date":"2023-07-05T09:54:45","date_gmt":"2023-07-05T11:54:45","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-secrets-les-secrets-ne-sont-pas-amusants-secrets-secrets-stockes-dans-des-fichiers-en-texte-brut-blessent-quelquun\/"},"modified":"2023-07-05T09:54:48","modified_gmt":"2023-07-05T11:54:48","slug":"les-secrets-les-secrets-ne-sont-pas-amusants-secrets-secrets-stockes-dans-des-fichiers-en-texte-brut-blessent-quelquun","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-secrets-les-secrets-ne-sont-pas-amusants-secrets-secrets-stockes-dans-des-fichiers-en-texte-brut-blessent-quelquun\/","title":{"rendered":"Les secrets, les secrets ne sont pas amusants.  Secrets, secrets (stock\u00e9s dans des fichiers en texte brut) blessent quelqu&#8217;un"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les secrets sont cens\u00e9s \u00eatre cach\u00e9s ou, \u00e0 tout le moins, connus uniquement d&#8217;un ensemble sp\u00e9cifique et limit\u00e9 d&#8217;individus (ou de syst\u00e8mes).  Sinon, ce ne sont pas vraiment des secrets.  Dans la vie personnelle, un secret r\u00e9v\u00e9l\u00e9 peut endommager les relations, conduire \u00e0 la stigmatisation sociale ou, \u00e0 tout le moins, \u00eatre embarrassant.  Dans la vie professionnelle d&#8217;un d\u00e9veloppeur ou d&#8217;un ing\u00e9nieur en s\u00e9curit\u00e9 des applications, les cons\u00e9quences de la divulgation de secrets peuvent entra\u00eener des failles de s\u00e9curit\u00e9, des fuites de donn\u00e9es et, bien s\u00fbr, \u00eatre \u00e9galement embarrassantes.  Et bien qu&#8217;il existe des outils disponibles pour d\u00e9tecter le code source et les r\u00e9f\u00e9rentiels de code, il existe peu d&#8217;options pour identifier les secrets dans le texte brut, les documents, les e-mails, les journaux de discussion, les syst\u00e8mes de gestion de contenu, etc.<\/p>\n<h2 style=\"text-align: left;\"><strong>Que sont les secrets\u00a0?<\/strong><\/h2>\n<p>Dans le contexte des applications, les secrets sont des informations sensibles telles que les mots de passe, les cl\u00e9s API, les cl\u00e9s cryptographiques et d&#8217;autres donn\u00e9es confidentielles dont une application a besoin pour fonctionner mais ne doivent pas \u00eatre expos\u00e9es \u00e0 des utilisateurs non autoris\u00e9s.  Les secrets sont g\u00e9n\u00e9ralement stock\u00e9s en toute s\u00e9curit\u00e9 et accessibles par programmation par l&#8217;application en cas de besoin.<\/p>\n<p>L&#8217;utilisation de secrets est un aspect essentiel de la s\u00e9curisation des applications.  L&#8217;acc\u00e8s non autoris\u00e9 \u00e0 ces informations sensibles peut entra\u00eener des failles de s\u00e9curit\u00e9 et d&#8217;autres activit\u00e9s malveillantes.  Pour prot\u00e9ger les secrets, les d\u00e9veloppeurs, les administrateurs syst\u00e8me et les ing\u00e9nieurs en s\u00e9curit\u00e9 utilisent diverses techniques de s\u00e9curit\u00e9 telles que le chiffrement, le stockage s\u00e9curis\u00e9 et les m\u00e9canismes de contr\u00f4le d&#8217;acc\u00e8s pour garantir que seuls les utilisateurs autoris\u00e9s peuvent y acc\u00e9der.  De plus, ils mettent en \u0153uvre les meilleures pratiques telles que la rotation r\u00e9guli\u00e8re des mots de passe et des cl\u00e9s et la limitation de la port\u00e9e de l&#8217;acc\u00e8s aux secrets \u00e0 ce qui est n\u00e9cessaire au fonctionnement de l&#8217;application.<\/p>\n<h2 style=\"text-align: left;\"><strong>Les secrets de la cha\u00eene d&#8217;approvisionnement logicielle<\/strong><\/h2>\n<p>Les secrets sont un \u00e9l\u00e9ment essentiel de la s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement logicielle, qui englobe la collaboration jusqu&#8217;au d\u00e9ploiement, et tout ce qui se trouve entre les deux. <\/p>\n<p>Un secret, comme une cl\u00e9 d&#8217;acc\u00e8s ou un mot de passe, est souvent la seule chose qui se dresse entre un attaquant et des donn\u00e9es ou des syst\u00e8mes sensibles.  Par cons\u00e9quent, il est essentiel de garder ces secrets confidentiels et s\u00e9curis\u00e9s.  Lorsque des secrets sont compromis, cela peut entra\u00eener une violation de donn\u00e9es d\u00e9vastatrice, qui peut causer d&#8217;importants dommages financiers et \u00e0 la r\u00e9putation d&#8217;une organisation. <\/p>\n<p>Les secrets sont une cible fr\u00e9quente des attaques de la cha\u00eene d&#8217;approvisionnement logicielle.  Les attaquants ciblent souvent des secrets pour acc\u00e9der aux syst\u00e8mes, aux donn\u00e9es ou aux serveurs de l&#8217;entreprise.  Ils peuvent facilement obtenir ces secrets s&#8217;ils ont \u00e9t\u00e9 divulgu\u00e9s par erreur \u00e0 une source publique.  La protection des secrets dans la s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement logicielle est essentielle pour s&#8217;assurer que les attaquants ne peuvent pas les exploiter pour compromettre les syst\u00e8mes et les donn\u00e9es de l&#8217;entreprise.  Une bonne gestion des secrets peut aider \u00e0 emp\u00eacher l&#8217;acc\u00e8s non autoris\u00e9 aux syst\u00e8mes et donn\u00e9es critiques, prot\u00e9geant ainsi les organisations des attaques de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<h2 style=\"text-align: left;\"><strong>Comment gardez-vous les secrets secrets\u00a0?<\/strong><\/h2>\n<p>Pour vous prot\u00e9ger contre les fuites de secrets, vous pouvez utiliser les pratiques suivantes\u00a0:<\/p>\n<ol>\n<li>Utilisez des variables d&#8217;environnement pour stocker les secrets\u00a0: au lieu de coder en dur les secrets dans votre code, stockez-les dans des variables d&#8217;environnement.  Cela facilite la gestion des secrets et garantit qu&#8217;ils ne sont pas accidentellement engag\u00e9s dans un r\u00e9f\u00e9rentiel de code.<\/li>\n<li>Utilisez un fichier .gitignore\u00a0: cr\u00e9ez un fichier .gitignore pour exclure les fichiers contenant des secrets du suivi par Git.  Cela emp\u00eachera que des informations sensibles soient accidentellement valid\u00e9es dans un r\u00e9f\u00e9rentiel de code.  Si vous suivez le point 1 ci-dessus, assurez-vous que si les secrets sont stock\u00e9s dans un fichier de variable d&#8217;environnement, ce fichier est sp\u00e9cifi\u00e9 dans .gitignore.<\/li>\n<li>Utilisez un outil de gestion des secrets\u00a0: un outil de gestion des secrets peut aider \u00e0 stocker et \u00e0 g\u00e9rer en toute s\u00e9curit\u00e9 les secrets des applications ou du syst\u00e8me.  Cela garantit que les secrets sont chiffr\u00e9s et accessibles uniquement aux utilisateurs autoris\u00e9s.<\/li>\n<li>Utilisez le chiffrement\u00a0: chiffrez les secrets avant de les stocker dans des r\u00e9f\u00e9rentiels de code.  Cela fournit une couche de s\u00e9curit\u00e9 suppl\u00e9mentaire et rend plus difficile pour les attaquants d&#8217;acc\u00e9der aux informations sensibles.<\/li>\n<li>Utiliser l&#8217;authentification \u00e0 deux facteurs (2FA)\u00a0: activez 2FA pour les r\u00e9f\u00e9rentiels de code afin d&#8217;emp\u00eacher tout acc\u00e8s non autoris\u00e9.  Cela ajoute une couche de s\u00e9curit\u00e9 suppl\u00e9mentaire et rend plus difficile pour les attaquants d&#8217;obtenir un acc\u00e8s non autoris\u00e9 \u00e0 un r\u00e9f\u00e9rentiel de code.<\/li>\n<\/ol>\n<p>En suivant ces meilleures pratiques, vous pouvez vous prot\u00e9ger contre l&#8217;exposition accidentelle d&#8217;informations sensibles dans nos r\u00e9f\u00e9rentiels de code et nos gestionnaires de contr\u00f4le des sources.  Mais qu&#8217;en est-il des autres syst\u00e8mes, tels que les syst\u00e8mes de gestion de contenu, les documents en texte brut, les e-mails, les journaux de discussion et d&#8217;autres actifs num\u00e9riques\u00a0? <em>pas <\/em>stock\u00e9 dans un r\u00e9f\u00e9rentiel\u00a0?<\/p>\n<h2 style=\"text-align: left;\"><strong>Pr\u00e9sentation de Too Many Secrets par Checkmarx<\/strong><\/h2>\n<p>Too Many Secrets (2MS) est un projet open source d\u00e9di\u00e9 \u00e0 aider les gens \u00e0 prot\u00e9ger leurs informations sensibles telles que les mots de passe, les informations d&#8217;identification et les cl\u00e9s API contre leur apparition sur les sites Web publics et les services de communication.  2MS prend en charge Confluence aujourd&#8217;hui et nous ajouterons bient\u00f4t la prise en charge de Discord.  De plus, il est \u00e9galement facilement extensible \u00e0 d&#8217;autres plateformes de communication ou de collaboration.<\/p>\n<p>L&#8217;installation et l&#8217;ex\u00e9cution de 2MS sont extr\u00eamement simples et rapides.  Int\u00e9gr\u00e9 \u00e0 Go, tout ce dont vous avez besoin est de cloner le r\u00e9f\u00e9rentiel, de cr\u00e9er le projet et d&#8217;ex\u00e9cuter le binaire sur votre plate-forme.  Vous trouverez ci-dessous la liste des commandes que j&#8217;ai utilis\u00e9es pour d\u00e9marrer et fonctionner sous OSX (en utilisant Bash 5.1.16):<\/p>\n<blockquote>\n<p># brew install go<\/p>\n<p># clone de git <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Checkmarx\/2ms.git\" target=\"_blank\">https:\/\/github.com\/Checkmarx\/2ms.git<\/a><\/p>\n<p># cd 2ms<\/p>\n<p># allez construire<\/p>\n<p># .\/2ms &#8211;confluence https:\/\/<MyConfluence>.atlassian.net\/wiki &#8211;confluence-spaces <MySpace> &#8211;confluence-username <MyUsername> &#8211;confluence-token <MyToken><\/p>\n<\/blockquote>\n<p>2MS est construit sur un moteur de d\u00e9tection de secrets (actuellement <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/gitleaks\/gitleaks\" target=\"_blank\">gitleaks<\/a>) et comprend divers plugins pour interagir avec les plates-formes populaires.  Cela signifie que n&#8217;importe qui dans la communaut\u00e9 open source peut contribuer, am\u00e9liorer et \u00e9tendre 2MS assez facilement.<\/p>\n<h2><strong>Apprendre encore plus<\/strong><\/h2>\n<p>Nous croyons qu&#8217;en travaillant ensemble, <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/globalpulsereport\/?utm_source=TheHackerNews&amp;utm_medium=cpc&amp;utm_search_query=global-pulse-report&amp;utm_campaign=X-AD-20230424-ALL_LEVEL-THN-ALL-PER-DISPLAY-LP\" target=\"_blank\">nous pouvons cr\u00e9er un monde num\u00e9rique plus s\u00fbr<\/a>.  Pour en savoir plus ou t\u00e9l\u00e9charger vous-m\u00eame le projet, rendez-vous sur <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Checkmarx\/2ms\" target=\"_blank\">https:\/\/github.com\/Checkmarx\/2ms<\/a>disponible sur GitHub.<\/p>\n<p><i><b>Note:<\/b> Cet article a \u00e9t\u00e9 r\u00e9dig\u00e9 de mani\u00e8re experte et contribu\u00e9 par Bryant Schuck, chef de produit chez Checkmarx.<\/i><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/secrets-secrets-are-no-fun-secrets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les secrets sont cens\u00e9s \u00eatre cach\u00e9s ou, \u00e0 tout le moins, connus uniquement d&#8217;un ensemble sp\u00e9cifique et limit\u00e9 d&#8217;individus (ou de syst\u00e8mes). Sinon, ce ne sont pas vraiment des secrets. Dans la vie personnelle, un secret r\u00e9v\u00e9l\u00e9 peut endommager les relations, conduire \u00e0 la stigmatisation sociale ou, \u00e0 tout le moins, \u00eatre embarrassant. Dans la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":815947,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[7223,26706,12396,4168,4158,4165,4161,429,133,21769,4157,4159,4171,4170,65,4167,4160,4163,4162,132,2023,5256,4172,4169,317,144514,13128,4166,4164],"class_list":["post-815946","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-amusants","tag-blessent","tag-brut","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-fichiers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pas","tag-quelquun","tag-secrets","tag-securite-informatique","tag-securite-internet","tag-sont","tag-stockes","tag-texte","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/815946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=815946"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/815946\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/815947"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=815946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=815946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=815946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}