Le défi de la sécurité des secrets : Comment GitGuardian protège vos informations sensibles

Le titre de cet article ressemble probablement à la légende d’un mème. Il s’agit plutôt d’un problème réel que les ingénieurs de GitGuardian ont dû résoudre en mettant en œuvre les mécanismes de leur nouveau service HasMySecretLeaked.

Ils voulaient aider les développeurs à savoir si leurs secrets (mots de passe, clés API, clés privées, certificats cryptographiques, etc.) s’étaient retrouvés dans les dépôts publics de GitHub. Comment pourraient-ils passer au peigne fin une vaste bibliothèque de secrets trouvés dans des dépôts GitHub accessibles au public, ainsi que leur historique, et les comparer à vos secrets sans que vous n’ayez à exposer des informations sensibles ? Cet article vous explique comment.

Tout d’abord, si la masse d’un bit est égale à celle d’un électron, une tonne de données représenterait environ 121,9 quadrillions de pétaoctets de données à la gravité terrestre normale ou 39,2 milliards de milliards de dollars américains en mises à niveau du stockage des MacBook Pro (soit plus que tout l’argent du monde). Ainsi, lorsque cet article affirme que GitGuardian a scanné une « tonne » de données publiques de GitHub, il s’agit d’un sens figuré, pas d’un sens littéral.

Mais oui, ils ont scanné une « tonne » de commits publics et de gists de GitHub, en parcourant les historiques de commits, et ont trouvé des millions de secrets : mots de passe, clés API, clés privées, certificats cryptographiques, et bien plus encore. Et non, « millions » n’est pas une expression figurée. Ils en ont littéralement trouvé plus de 10 millions en 2022.

Comment GitGuardian pourrait-il permettre aux développeurs et à leurs employeurs de voir si leurs secrets actuels et valides font partie de ces plus de 10 millions sans simplement publier des millions de secrets, ce qui permettrait aux acteurs de la menace de les trouver et de les récolter plus facilement ? Un mot : empreinte digitale.

Après une évaluation et des tests minutieux, ils ont mis au point un protocole d’empreinte secrète qui chiffre et hachure le secret, puis ne partage qu’un hachage partiel avec GitGuardian. Ils ont ainsi pu limiter le nombre de correspondances potentielles à un nombre raisonnable sans en savoir assez sur le hachage pour l’inverser ou le décrypter. Pour garantir une sécurité accrue, ils ont placé la boîte à outils pour le cryptage du hachage côté client.

Si vous utilisez l’interface web HasMySecretLeaked, vous pouvez copier un script Python qui crée le hachage localement, puis en envoyer la sortie dans le navigateur. Vous n’avez jamais mis le secret lui-même dans un endroit où il peut être transmis par le navigateur. Examinez facilement le code de 21 lignes et vérifiez par vous-même qu’il n’envoie rien en dehors de la session de terminal que vous avez ouverte, exécutez le script. Si cela ne suffit pas, ouvrez les outils de développement F12, Chrome, un autre navigateur, allez dans le panneau Réseau et surveillez les informations que l’interface web envoie en amont.

Si vous utilisez le CLI de ggshield open source, vous pouvez inspecter le code et voir ce qui se passe lorsque vous utilisez la commande hmsl Vous voulez encore plus d’assurance Utilisez un inspecteur de trafic comme Fiddler Wireshark pour voir ce qui est transmis

La commande ggshield est un outil qui permet d’inspecter le code et de voir ce qui se passe.

Les ingénieurs de GitGuardian savaient que même les clients qui leur faisaient confiance auraient des appréhensions à coller une clé API ou un autre secret dans une page web Pour la sécurité et la tranquillité d’esprit, tous ceux qui utilisent le service ont choisi d’être transparents et de mettre le plus de processus possible sous le contrôle du client Cela va au-delà du matériel de marketing dans la documentation de ggshield hsml command

Les ingénieurs de GitGuardian savaient que même les clients qui leur faisaient confiance auraient des appréhensions à coller une clé API ou un autre secret dans une page web

GitGuardian a fait un effort supplémentaire pour s’assurer que les personnes qui utilisent le vérificateur HasMySecretLeaked n’ont pas à partager les secrets réels pour voir s’il y a eu fuite Et c’est payant Plus de 9000 secrets ont été vérifiés les premières semaines.

Si vos secrets ont déjà été divulgués publiquement, il vaut mieux le savoir que de ne pas le savoir Ils n’ont peut-être pas encore été exploités, mais ce n’est probablement qu’une question de temps Vous pouvez vérifier jusqu’à cinq par jour gratuitement HasMySecretLeaked checker via le web et encore plus en utilisant GitGuardian shield CLI Et même si vous ne cherchez pas à voir si vos secrets ont fuité devraient regarder leurs méthodes de code aider à inspirer les efforts rendre plus facile les gens plus sûrs utiliser les services

 

Pour vos clients de partager des informations sensibles sans partager l’information elle-même, Découvrez comment la détection et la réponse des applications ainsi que la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internes. Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale fonctionne si bien ? Décodons l’esprit d’un cyber-attaquant. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.

Partager:

Les dernières actualités :