15/11/2024
IT-Connect » Actualités » Actu Cybersécurité » GitHub peut analyser vos dépôts pour rechercher des secrets (et c’est gratuit)

Github Secret Scanning - 2023
Actu CybersécuritéWeb

GitHub peut analyser vos dépôts pour rechercher des secrets (et c’est gratuit)

Florian BURNEL 0 commentaire

Dès à présent, tous les dépôts publics hébergés sur GitHub peuvent bénéficier d'une nouvelle fonctionnalité qui vise à détecter les éventuels secrets intégrés aux fichiers, aux commentaires, etc... en scannant tout l'historique du dépôt. Et en plus, c'est gratuit !

GitHub a annoncé que le service "Secret scanning" était désormais disponible pour tout le monde, et que n'importe quel administrateur de dépôts publics peut activer cette fonction pour protéger ses données. Une fonction particulièrement utile pour rattraper les erreurs humaines... Car même avec l'expérience, on n’est pas à l'abri d'une erreur de ce type et cela peut être lourd de conséquences...

Cette nouveauté va permettre à GitHub de scanner les dépôts publics à la recherche de secrets : clés d'API, jetons d'authentification, mots de passe, etc... Que les attaquants sont susceptibles de trouver également ! Un attaquant peut utiliser une telle information pour mener à bien une attaque informatique. Sous réserve que la donnée soit valide, bien entendu. Quoi qu'il en soit, c'est une méthode utilisée fréquemment par les cybercriminels.

Pour le moment, la fonction "Secret scanning" de GitHub s'appuie sur plus de 200 patterns (modèles) et prend en charge plus de 100 partenaires pour détecter les secrets dans les dépôts publics où cette fonction est activée. Suite à la phase de beta, plus de 70 000 dépôts ont bénéficié de cette option.

Comme le précise GitHub, l'analyse va relativement loin : "Vous pouvez activer les alertes d'analyse des secrets sur tous les dépôts que vous possédez pour vous notifier des fuites de secrets dans tout l'historique de vos dépôts, y compris le code, les problèmes, la description et les commentaires."

Comment activer la détection des secrets sur GitHub ?

Cette fonctionnalité gratuite s'active dépôt par dépôt, au sein des paramètres. Après avoir sélectionné un dépôt, il faut cliquer sur "Settings" en haut à droite, puis sur "Code security and analysis" dans le menu situé à gauche.

Dans la page qui s'affiche, il faut descendre tout en bas de façon à trouver l'option "Secret scanning" que l'on peut activer en cliquant sur "Enable".

GitHub Secret Scanning - Activation sur un dépôt

Espérons que cette fonctionnalité soit adoptée par un maximum d'utilisateurs et qu'elle permette d'éviter des attaques informatiques.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Samsung Message Guard pour Galaxy

Avec Message Guard, Samsung veut vous protéger des attaques zero-click

Florian BURNEL 1
Microsoft Patch Tuesday Septembre 2023

Patch Tuesday – Septembre 2023 : 59 failles de sécurité corrigées (avec 2 failles zero-day)

Florian BURNEL 0
Cyberattaque LastPass - Nouvelles informations Septembre 2022

Piratage de LastPass : les cybercriminels ont eu accès à l’environnement pendant 4 jours

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.