Le français GitGuardian révèle les "secrets" oubliés dans vos lignes de code
Dans l'univers du développement, oublier une clé de sécurité dans le code ne relève pas de l'exception. C'est même plutôt la règle. Et ces "secrets", présents dans un grand nombre de programmes, ouvrent sans surprise des failles béantes de sécurité sur les systèmes d'information. "La plupart du temps, il s'agit de clés d'authentification digitales présentes sous forme de chaînes de caractères. Elles sont déposées pour des tests, puis oubliées.", explique Jérémy Thomas, cofondateur de GitGuardian. Comment en est-on arrivé là ? "L'émergence de l'open source et les approches CI/CD (Continuous Integration / Continuous Delivery, ndlr) ont marqué un véritable tournant en termes de programmation, répond Jérémy Thomas. Le code n'est plus "propriétaire" comme avant, mais accessible publiquement, notamment via des plateformes comme GitHub sur laquelle se connectent plus de 70 millions de développeurs à travers le monde." Résultat, les plateformes regorgent de commits (contributions) qui hébergent, sans le savoir, des informations sensibles. Ce qui n'est pas sans faire le bonheur des pirates qui viennent directement se servir. Malgré l'apparition de nouvelles approches du type DevSecOps et de toute une série de bonnes pratiques, auditer manuellement le code pour le "nettoyer" est un vœu pieux. Tout comme la confection de solutions ad hoc. "Nous avions auparavant un certain nombre d'outils de code-scanning internes qui étaient pratiquement inutiles", raconte Don Magee, ingénieur sécurité et SI chez Stedi, société éditrice de solutions SaaS.
Six millions de secrets découverts en 2021
En 2017, deux jeunes ingénieurs français, Jérémy Thomas et Eric Fourrier, imaginent donc GitGuardian, une solution dotée d'algorithmes conçus pour détecter automatiquement la présence d'informations sensibles dans le code et en informer l'auteur ou le responsable sécurité. "Dans un premier temps, GitGuardian s'est attaqué à l'analyse des codes déposés sur GitHub qui recense aujourd'hui plus de 70 millions de développeurs. Nous trouvions 200 à 300 secrets par jour. Aujourd'hui avec la démultiplication des API et des micro services, nous sommes plutôt autour de 5 000 détections quotidiennes", raconte Eric Fourrier. En 2020, GitGuardian identifiait un total de 2 millions de secrets et pas moins de 6 l'année suivante. Aujourd'hui, GitGuardian est en mesure de détecter plus de 350 types de secrets différents dans les dépôts et conteneurs publics et privés, à chaque étape du cycle de développement et recense plusieurs centaines de clients à travers le monde, tels qu'Orange, Talend, Mirantis, Payfit, Snowflake, etc.
Dix secondes pour auditer un commit
"Avec GitGuardian, nous avons analysé plus de 20 000 commits au cours du mois dernier et trouvé 256 secrets qui auraient pu être mis en production, raconte Don Magee. Certains secrets AWS, par exemple, auraient ouvert un accès complet à nos environnements." La solution a également permis à l'éditeur d'augmenter la productivité de ses équipes de sécurité : "Nous n'avons plus besoin de passer notre temps à effectuer manuellement des analyses dans les dépôts pour voir s'ils contiennent des secrets. Dans les dix secondes qui suivent un commit, nous savons s'il en contient un secret."
R2sultat, en 2021, GitGuardian obtient le prix Start-up FIC, devient membre du FT120 et lève 44 millions de dollars en série B. GitGuardian a multiplié son chiffre d'affaires par 4, ambitionne de doubler la taille de ses équipes et va ouvrir prochainement un bureau et installer des équipes aux Etats-Unis (qui représentent déjà 75% de ses revenus). "La partie R&D, elle, restera en France", assure Jérémy Thomas.