Leak Twitch : "Twitch n'est pas à l'abri d'un second incident", prévient GitGuardian (Interview)

19 octobre 2021 à 15h54
3

Après le leak Twitch, la start-up française spécialisée dans la détection de secrets dans le code source, GitGuardian, estime que la plateforme d’Amazon n’en a peut-être pas fini avec les ennuis.

Primée au Forum international de la cybersécurité et nommée aux Assises de la sécurité, GitGuardian a des choses à dire lorsqu’on parle de code source. La révélation, au début du mois, d’un fichier de 125 Go embarquant le code source intégral de Twitch (entre autres !) a été l’occasion pour Clubic de rencontrer la jeune entreprise française, dont la principale mission est de chercher des vulnérabilités dans les codes source qui pourraient être exploitées par des utilisateurs malveillants. Nous avons échangé avec Guillaume Charpiat, EMEA Account Executive chez GitGuardian.

Guillaume Charpiat - GitGuardian © Alexandre Boero pour Clubic
Guillaume Charpiat - GitGuardian (© Alexandre Boero pour Clubic)

L’interview « Leak Twitch » de Guillaume Charpiat (GitGuardian)

Clubic - Pouvez-vous nous présenter GitGuardian ? Quel est le champ d'activité de l'entreprise ?

Guillaume Charpiat : GitGuardian est un éditeur de logiciel et de solutions de sécurité applicative dans la mouvance DevSecOps (Development - Security - Operations), qui aide les développeurs à sécuriser leur code source face au risque de fuite de secrets. On cherche à éviter que des clés API, des mots de passe de bases de données ou des certifications ne se retrouvent dans du code source, principalement dans des répertoires Git. On fait ainsi en sorte que des acteurs malveillants ne puissent pas mettre la main sur ce code source et utiliser des identifiants pour se livrer à du hacking, tout simplement.

Justement, l'actualité est assez dense en la matière : vous ne devez pas manquer de travail !

Oui, il y a des piratages assez majeurs avec beaucoup de résonance sur la thématique du secret, tous les deux à trois mois en ce moment. Il y a eu, très récemment, le leak Twitch où des données utilisateurs (ndlr : mots de passe, revenus générés par les streamers , projet Vapor d'Amazon) mais également le code source de l'application ont été mis en public. D'ailleurs, les équipes d'ingénierie de GitGuardian sont en train d'analyser ce code source. Nous allons publier sous peu un article dans lequel nous parlerons des secrets dénichés dans cette base de code et des potentielles ramifications pouvant découler de l'exposition de ces informations auprès du grand public.

"Les équipes de Twitch vont devoir révoquer de manière massive toutes leurs clés d'infrastructures, leurs clés API, etc."

Twitch © © Ink Drop / Shutterstock.com
© Ink Drop / Shutterstock.com

Quels sont les risques pour Twitch et sa maison-mère, Amazon, à l'égard de cette fuite ? On parle de près de 130 Go de données issues d'un fichier publié sur 4chan…

Globalement, le risque est que d'autres hackers accèdent à leur système, donc un potentiel deuxième incident qui viendrait se superposer au premier. Les équipes sécurité et infrastructure de Twitch vont donc devoir révoquer de manière massive toutes leurs clés d'infrastructures, leurs clés API, etc. À court terme, la plateforme a un gros chantier de remise au carré de cet existant. J'espère pour eux qu'ils ont des solutions de détection de secrets… sinon, ils peuvent nous contacter !

Définition : qu'est-ce qu'un "secret" ?

En cybersécurité, un secret peut prendre plusieurs formes. Il peut s'agir de clés API, de clés de chiffrement, de mots de passe, de certificats ou d'identifiants des comptes à privilèges. On peut les définir comme une information privée qui sert de clé permettant d'accéder à des informations sensibles ou protégées, ressources que l'on retrouve ensuite dans des applications, conteneurs ou outils, dans le Cloud ou dans des environnements DevOps.

GitGuardian œuvre dans la sécurisation des applications. Comment s'y prend-on, aujourd'hui, pour sécuriser les applications ?

Nous sommes dans la galaxie de la sécurité applicative. Il y a des catégories historiques qui sont déjà matures et maitrisées par les organisations. Je pense notamment au SAST (ndlr : test statique de sécurité des applications, qui permet aux développeurs de trouver des vulnérabilités dans le code source pendant le développement logiciel) ou au SCA (ndlr : analyse de composition logicielle, qui permet de découvrir les failles et liste les licences de chaque composant). Nous, on parle beaucoup de micro-services, de Cloud, d'« APIsation » des systèmes d'information. Lorsque vous atomisez votre système d'information en nombreuses petites briques agiles et autonomes, il faut les interconnecter les unes avec les autres : nous aidons le développeur à connecter tous ces systèmes et à se rendre compte par lui-même, au moment opportun, qu'il est sur le point de faire une bêtise et de créer un incident potentiel en exposant une clé ou une information possible.

"Nous sommes la première application de la marketplace GitHub, avec plus de 150 000 installations un peu partout dans le monde"

Comment aidez-vous les entreprises qui veulent y parvenir et limiter les risques ?

Nous travaillons de deux façons avec nos clients : on propose directement des outils aux développeurs dans leur quotidien, et on fournit aux équipes de sécurité un tableau de bord, une vue globale et consolidée de l'activité de toutes leurs équipes de développement, pour qu'ils aient cette notion de maîtrise du risque à l'échelle, de manière macro. C'est notre philosophie. Nous parlons d'un modèle de responsabilité partagée entre les développeurs et les équipes sécurité, pour que chacun participe à la posture de sécurité de l'entreprise.

Quelles sont les potentielles vulnérabilités qui sont généralement décelées dans le code source des applications ?

La fuite de secrets est déjà un type de vulnérabilité en tant que telle. On se focalise vraiment là-dessus aujourd'hui, nous sommes en train d'améliorer notre moteur de détection. Ensuite, on est aussi en train de développer notre offre sur les secrets de vulnérabilité dans les images Docker. Nous allons vraisemblablement aller sur la détection de vulnérabilités ou de mauvaises configurations dans les fichiers IaC. Ce sont des évolutions très naturelles pour notre plateforme.

GitGuardian - stand Assises 2021 © Alexandre Boero pour Clubic
GitGuardian - Stand Assises de la sécurité 2021 (© Alexandre Boero pour Clubic)

Quand on parle de mauvaises configurations, on parle évidemment des erreurs humaines, qui est l'une des bases de votre travail...

Exactement. Les risques que nous couvrons sont principalement des erreurs d'inattention, des erreurs de connaissance, des erreurs humaines. On veut proposer aux équipes engineering d'avoir ces automatismes, ce soutien additionnel qui va leur indiquer qu'un risque est sur le point de se matérialiser. C'est quelque chose qui a beaucoup de succès, avec de nombreuses options par les développeurs. : nous sommes la première application de la marketplace GitHub, avec plus de 150 000 installations un peu partout dans le monde. Ce sont des développeurs qui ont d'eux-mêmes installé notre application pour sécuriser leur répertoire open source, privé, etc.

Quel est le prochain chantier immédiat pour les mois qui arrivent ?

Nous allons rentrer dans une phase d'accélération commerciale et marketing. On devrait vraisemblablement ouvrir des bureaux aux États-Unis en début d'année prochaine, et continuer à muscler nos équipes marketing sur la partie animation de la communauté dev, avec des développeurs évangélistes ou des content writers.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
3
JohnnyG
Message non constructif HS.
JohnnyG
Message de modération :<br /> La prochaine remarque HS sur le physique se vera accompagner de vacances forcées.<br /> Merci de lire/voir et réagir au contenu de l’article.
PierreKaiL
Sympa cette petite interview d’une start up française, par contre c’est dommage que les explications ne soit pas plus accessibles pour un néophyte dans ce domaine. Personnellement «&nbsp;un secret&nbsp;» dans un code source ne me dit rien du tout et «&nbsp;La fuite de secrets&nbsp;» idem.
AlexLex14
Merci Pierre et c’est très juste, il manquait l’élément de définition du secret. Je me suis permis de rajouter donc une définition la plus accessible possible de ce qu’est un «&nbsp;secret&nbsp;» en matière cyber, dans un encadré en milieu d’interview.
AlexLex14
Pour info :<br /> En cybersécurité, un secret peut prendre plusieurs formes. Il peut s’agir de clés API, de clés de chiffrement, de mots de passe, de certificats ou d’identifiants des comptes à privilèges. On peut les définir comme une information privée qui sert de clé permettant d’accéder à des informations sensibles ou protégées, ressources que l’on retrouve ensuite dans des applications, conteneurs ou outils, dans le Cloud ou dans des environnements DevOps.<br />
Voir tous les messages sur le forum

Lectures liées

900 employés licenciés en direct via Zoom
La plateforme PrestaShop signe un partenariat avec Google, une aubaine pour ses marchands
Square, maison-mère de Tidal cofondée par Jack Dorsey, change de nom
Déréférencé, Wish souhaite revenir sur Google et les app stores
Vous pouvez suivre en temps réel les commandes passées à l'occasion du Black Friday sur cette carte du monde
Qui veut prendre la place de Stéphane Richard (et son salaire annuel de 1,6 million) ?
Pour mieux lutter face aux plateformes streaming, Canal+ veut séparer sa section films et séries du sport
Black Friday : malgré une chute des recherches, les Français toujours aussi friands de bonnes affaires
La répression des fraudes souhaite que Wish devienne invisible
Stéphane Richard échappe à la prison, le P.-D.G. d'Orange écope d'un sursis et d'une petite amende
Haut de page