29 millions de secrets : le probleme s’aggrave
Le rapport annuel State of Secrets Sprawl 2026 de GitGuardian dresse un constat alarmant : 29 millions de nouveaux secrets hardcodes ont ete decouverts dans les commits GitHub publics en 2025. C’est une hausse de 34 % par rapport a l’annee precedente, et le plus grand saut annuel jamais enregistre.
Les chiffres cles du rapport
| Metrique | Valeur | Evolution |
|---|---|---|
| Secrets dans les commits publics | 29 millions | +34 % YoY |
| Taux de fuite des commits IA | 3,2 % | 2x la baseline |
| Fuites de credentials IA | +81 % | Plus forte croissance |
| Secrets hors code (Slack, Jira) | 28 % des incidents | - |
| Repos internes vs publics | 6x plus de secrets | - |
| Secrets de 2022 encore valides (jan 2026) | 64 % | Contre 70 % en jan 2025 |
L’IA multiplie les fuites
C’est la revelation la plus preoccupante du rapport : les commits assistes par IA fuient des secrets a un taux de 3,2 %, soit environ le double de la baseline. Les outils de generation de code (GitHub Copilot, Cursor, etc.) reproduisent les mauvaises pratiques presentes dans les donnees d’entrainement : stocker des cles API en dur dans le code, inclure des tokens dans les exemples, hardcoder des mots de passe dans les tests.
Les credentials de services IA sont la categorie de fuite qui croit le plus vite : +81 % en un an. Les cles API OpenAI, Anthropic, Google AI et autres services LLM se retrouvent dans les commits publics. Ces cles sont couteuses (un usage non autorise peut generer des factures de milliers de dollars) et donnent acces a des donnees potentiellement sensibles.
Le probleme ne se limite pas au code
28 % des incidents de fuite de secrets proviennent de sources hors code : Slack, Jira, Confluence, Teams, emails. Ces fuites sont 13 points de pourcentage plus susceptibles d’etre critiques que celles trouvees dans le code seul.
Un developpeur qui colle une cle API dans un message Slack pour depanner un collegue cree un risque persistant : le message reste indexe et accessible, souvent sans politique de retention.
Le deficit de remediation
Le chiffre le plus revelateur du rapport est peut-etre celui-ci : 70 % des secrets decouverts en 2022 etaient encore valides en janvier 2025. Un an plus tard, en janvier 2026, le taux etait encore de 64 %.
Cela signifie que meme quand les fuites sont detectees, les organisations ne rotent pas leurs secrets. La detection sans remediation est inutile.
Les repositories internes : 6x plus exposes
Les repos internes contiennent 6 fois plus de secrets que les repos publics. Les developpeurs ont un faux sentiment de securite avec les repos prives : “ce n’est pas public, donc ce n’est pas grave.” Mais un repo interne compromis (via un compte vole, un prestataire malveillant ou une erreur de configuration) expose tous les secrets qu’il contient.
Recommandations
- Pre-commit hooks : installez des outils comme GitGuardian, TruffleHog ou detect-secrets en pre-commit pour bloquer les secrets avant qu’ils n’atteignent le repo
- Scanning continu : scannez les repos existants et les nouvelles contributions en continu
- Politique de rotation : definissez des delais de rotation pour chaque type de secret (cles API : 90 jours, tokens : 30 jours)
- Formation des developpeurs : sensibilisez aux alternatives (vaults, variables d’environnement, gestionnaires de secrets)
- Couverture hors code : integrez la detection de secrets dans Slack, Jira et les autres outils de collaboration
- Audit des outils IA : surveillez les commits generes par IA pour les fuites de secrets
Lectures recommandees
Ces liens sont des liens affilies. Si vous effectuez un achat via ces liens, nous pouvons recevoir une commission, sans cout supplementaire pour vous.
- CISSP Demystifie : couvre la gestion des secrets et la securite du cycle de developpement.
- NordPass : gestionnaire de secrets pour les equipes de developpement, evitez le stockage en clair.
Sources
- The State of Secrets Sprawl 2026 - GitGuardian
- AI Frenzy Feeds Credential Chaos - Help Net Security
- State of Secrets Sprawl Report 2026 - GitGuardian
Publicité