Par Alexis, Expert technique chez Audensiel
La pratique illégale consistant à prendre le code source d’un programme informatique sans autorisation s’est largement développée ces dernières années. Cela cause des préjudices financiers : que ce soient des sociétés de jeu vidéo avec le vol des sources du jeu GTA 6 il y a quelques mois par exemple, ou pour des entreprises… de sécurité informatique comme pour Okta (fournisseur d’authentification unique). À cela s’ajoute des dommages de réputation et de confiance dans tous les cas aux clients ou fournisseurs des sociétés piratées.
Il n’a jamais été aussi important pour les développeurs d’user des bonnes pratiques : pas de secret (mot de passe, url de serveur, compte utilisateur…) en dur dans le code. Le développeur débutant peut manquer de formation mais même un développeur aguerri peut se faire avoir par manque de temps de développement. Quoi qu’il en soit ces menaces restent plutôt nouvelles et le développeur a toujours pu penser être en sécurité sur les dépôts de code longtemps internes aux entreprises. Aujourd’hui il n’en n’est rien avec les dépôts en accès libre comme github, un audit en 2021 a révélé que plus de 6 millions de secret étaient disponibles, le double de 2020.
De façon anecdotique on peut trouver des clones d’applications grâce au code volé. Mais le danger vient surtout du fait que le code peut être partagé entre plusieurs applications. Ce sont donc de multiples points d’entrée qui se retrouvent aux mains des pirates et donne en plus des possibilités de trouver des failles 0-day (faille inconnue et non documentée).
L’ironie de la situation est que cela ouvre de nouveaux marchés : il existe désormais des entreprises spécialisées dans la recherche de secret dans le code.
De plus, les intelligences artificielles spécialisées ont déjà prouvées qu’elles étaient capables de trouver ces informations.
Ce qui reste toutefois vain face au code déjà archivé avec les secrets et qui se retrouveraient dans l’extraction des sources : comme souvent en informatique il faut agir en amont pour ne pas être pris au dépourvu une fois la fuite avérée.
Vous souhaitez en savoir plus ?
Les équipes Audensiel accompagnent les entreprises sur la gouvernance des problématiques de cybersécurité et sur les projets de défense et de sécurité de données.
Cliquez ici pour en savoir plus sur notre offre Cybersécurité.
Comments