Après le leak Twitch, la start-up française spécialisée dans la détection de secrets dans le code source, GitGuardian, estime que la plateforme d’Amazon n’en a peut-être pas fini avec les ennuis.
Primée au Forum international de la cybersécurité et nommée aux Assises de la sécurité, GitGuardian a des choses à dire lorsqu’on parle de code source. La révélation, au début du mois, d’un fichier de 125 Go embarquant le code source intégral de Twitch (entre autres !) a été l’occasion pour Clubic de rencontrer la jeune entreprise française, dont la principale mission est de chercher des vulnérabilités dans les codes source qui pourraient être exploitées par des utilisateurs malveillants. Nous avons échangé avec Guillaume Charpiat, EMEA Account Executive chez GitGuardian.
L’interview « Leak Twitch » de Guillaume Charpiat (GitGuardian)
Clubic - Pouvez-vous nous présenter GitGuardian ? Quel est le champ d'activité de l'entreprise ?
Guillaume Charpiat : GitGuardian est un éditeur de logiciel et de solutions de sécurité applicative dans la mouvance DevSecOps (Development - Security - Operations), qui aide les développeurs à sécuriser leur code source face au risque de fuite de secrets. On cherche à éviter que des clés API, des mots de passe de bases de données ou des certifications ne se retrouvent dans du code source, principalement dans des répertoires Git. On fait ainsi en sorte que des acteurs malveillants ne puissent pas mettre la main sur ce code source et utiliser des identifiants pour se livrer à du hacking, tout simplement.
Justement, l'actualité est assez dense en la matière : vous ne devez pas manquer de travail !
Oui, il y a des piratages assez majeurs avec beaucoup de résonance sur la thématique du secret, tous les deux à trois mois en ce moment. Il y a eu, très récemment, le leak Twitch où des données utilisateurs (ndlr : mots de passe, revenus générés par les streamers, projet Vapor d'Amazon) mais également le code source de l'application ont été mis en public. D'ailleurs, les équipes d'ingénierie de GitGuardian sont en train d'analyser ce code source. Nous allons publier sous peu un article dans lequel nous parlerons des secrets dénichés dans cette base de code et des potentielles ramifications pouvant découler de l'exposition de ces informations auprès du grand public.
"Les équipes de Twitch vont devoir révoquer de manière massive toutes leurs clés d'infrastructures, leurs clés API, etc."
Quels sont les risques pour Twitch et sa maison-mère, Amazon, à l'égard de cette fuite ? On parle de près de 130 Go de données issues d'un fichier publié sur 4chan…
Globalement, le risque est que d'autres hackers accèdent à leur système, donc un potentiel deuxième incident qui viendrait se superposer au premier. Les équipes sécurité et infrastructure de Twitch vont donc devoir révoquer de manière massive toutes leurs clés d'infrastructures, leurs clés API, etc. À court terme, la plateforme a un gros chantier de remise au carré de cet existant. J'espère pour eux qu'ils ont des solutions de détection de secrets… sinon, ils peuvent nous contacter !
Définition : qu'est-ce qu'un "secret" ?
En cybersécurité, un secret peut prendre plusieurs formes. Il peut s'agir de clés API, de clés de chiffrement, de mots de passe, de certificats ou d'identifiants des comptes à privilèges. On peut les définir comme une information privée qui sert de clé permettant d'accéder à des informations sensibles ou protégées, ressources que l'on retrouve ensuite dans des applications, conteneurs ou outils, dans le Cloud ou dans des environnements DevOps.
GitGuardian œuvre dans la sécurisation des applications. Comment s'y prend-on, aujourd'hui, pour sécuriser les applications ?
Nous sommes dans la galaxie de la sécurité applicative. Il y a des catégories historiques qui sont déjà matures et maitrisées par les organisations. Je pense notamment au SAST (ndlr : test statique de sécurité des applications, qui permet aux développeurs de trouver des vulnérabilités dans le code source pendant le développement logiciel) ou au SCA (ndlr : analyse de composition logicielle, qui permet de découvrir les failles et liste les licences de chaque composant). Nous, on parle beaucoup de micro-services, de Cloud, d'« APIsation » des systèmes d'information. Lorsque vous atomisez votre système d'information en nombreuses petites briques agiles et autonomes, il faut les interconnecter les unes avec les autres : nous aidons le développeur à connecter tous ces systèmes et à se rendre compte par lui-même, au moment opportun, qu'il est sur le point de faire une bêtise et de créer un incident potentiel en exposant une clé ou une information possible.
"Nous sommes la première application de la marketplace GitHub, avec plus de 150 000 installations un peu partout dans le monde"
Comment aidez-vous les entreprises qui veulent y parvenir et limiter les risques ?
Nous travaillons de deux façons avec nos clients : on propose directement des outils aux développeurs dans leur quotidien, et on fournit aux équipes de sécurité un tableau de bord, une vue globale et consolidée de l'activité de toutes leurs équipes de développement, pour qu'ils aient cette notion de maîtrise du risque à l'échelle, de manière macro. C'est notre philosophie. Nous parlons d'un modèle de responsabilité partagée entre les développeurs et les équipes sécurité, pour que chacun participe à la posture de sécurité de l'entreprise.
Quelles sont les potentielles vulnérabilités qui sont généralement décelées dans le code source des applications ?
La fuite de secrets est déjà un type de vulnérabilité en tant que telle. On se focalise vraiment là-dessus aujourd'hui, nous sommes en train d'améliorer notre moteur de détection. Ensuite, on est aussi en train de développer notre offre sur les secrets de vulnérabilité dans les images Docker. Nous allons vraisemblablement aller sur la détection de vulnérabilités ou de mauvaises configurations dans les fichiers IaC. Ce sont des évolutions très naturelles pour notre plateforme.
Quand on parle de mauvaises configurations, on parle évidemment des erreurs humaines, qui est l'une des bases de votre travail...
Exactement. Les risques que nous couvrons sont principalement des erreurs d'inattention, des erreurs de connaissance, des erreurs humaines. On veut proposer aux équipes engineering d'avoir ces automatismes, ce soutien additionnel qui va leur indiquer qu'un risque est sur le point de se matérialiser. C'est quelque chose qui a beaucoup de succès, avec de nombreuses options par les développeurs. : nous sommes la première application de la marketplace GitHub, avec plus de 150 000 installations un peu partout dans le monde. Ce sont des développeurs qui ont d'eux-mêmes installé notre application pour sécuriser leur répertoire open source, privé, etc.
Quel est le prochain chantier immédiat pour les mois qui arrivent ?
Nous allons rentrer dans une phase d'accélération commerciale et marketing. On devrait vraisemblablement ouvrir des bureaux aux États-Unis en début d'année prochaine, et continuer à muscler nos équipes marketing sur la partie animation de la communauté dev, avec des développeurs évangélistes ou des content writers.