Il est important de sécuriser le code source

Le groupe Lapsus$ qui est spécialisé dans le vol de données, a diffusé des données qu'ils avaient volées. Et parmi toutes ces données, il figurait beaucoup de lignes de code qui contenait des secrets (mot de passe, jetons d'accès, adresse de configuration...). La société française GitGuardian qui est spécialisée dans la sécurité du code source, a trouvé plus de 6000 secrets, dont 600 tokens d'authentification qui donnaient potentiellement des accès à Samsung, comme sur des serveurs ou du stockage sur AWS, au total 200Go de données ont été subtilisé. De même pour Twitch qui s'est fait volé environ 200Go de données internes par un autre hacker qui révélait les revenus des "streamer". GitGuardian a détecté plus de 6000 secrets

Ces codes regorgent de secrets car les logiciels d'aujourd'hui sont interdépendant des autres et chaque application peut intégrer des dizaines de services tiers, et pour chacun d'eux il faut compter au moins un secret pour pouvoir s'y connecter. Ces secrets devraient figurer dans un fichier de configuration ou dans une base de données sécurisé où on va l'interroger en cas de besoin. Mais le problème c'est que ces bonnes pratiques ne sont pas souvent appliquées dû à plusieurs raisons : une faible culture de la sécurité, erreur humaine, des codeurs pas assez formés...