Aller au contenu principal

Fuite de secrets (secret scanning)

Une fuite de secrets expose clés d’API, tokens ou mots de passe hors du coffre prévu : dépôt Git, image Docker, historique de commits, bucket mal configuré.

Une fuite de secrets survient quand une donnée d’authentification, clé d’API, token, mot de passe, certificat privé, se retrouve exposée hors du coffre-fort prévu pour elle. Les vecteurs sont d’une banalité désarmante : un fichier de configuration commité par erreur, une clé restée dans l’historique Git après un « nettoyage » du fichier courant, une image Docker publique qui embarque des variables d’environnement, un bucket de stockage laissé ouvert, ou du JavaScript de production qui contient un token en clair.

Ce qui rend le sujet brûlant, c’est la vitesse d’exploitation. Des robots surveillent en permanence les dépôts publics et les registres ; une clé cloud poussée sur GitHub est typiquement testée en quelques minutes. Contrairement à une vulnérabilité qu’il faut savoir exploiter, un secret valide s’utilise tel quel : c’est un accès direct, sans effraction, et les compromissions majeures de ces dernières années commencent très souvent ainsi.

La parade porte un nom, le secret scanning : détecter en continu les secrets exposés dans le code, les historiques, les artefacts et les actifs publics, puis révoquer et faire tourner chaque secret trouvé, car un secret exposé un jour est un secret grillé. Notre page pilier sur les fuites de secrets détaille vecteurs et remédiation, et le module Leaks & Secrets Detection traque ces expositions sur votre périmètre.

Termes liés

Les définitions posent le vocabulaire, mais rien ne remplace un état des lieux concret. Si vous voulez savoir ce que ces concepts donnent sur votre propre périmètre, notre plateforme EASM cartographie votre surface d’attaque externe à partir d’un simple nom de domaine, et notre équipe répond sous 24 heures via la page contact.

    Fuite de secrets : définition | own2pwn