Épisode 0x295 - Pourquoi GitGuardian voit exploser les fuites de secrets

Synopsis

Cette semaine, un épisode spécial commandité par GitGuardian avec leur fondateur et CEO Eric Fourrier qui se joint à Patrick, Steve et Francis depuis New York. On déroule le rapport annuel State of Secrets Sprawl et le constat est brutal : le nombre de secrets exposés sur GitHub explose, et l’IA n’arrange rien. Les utilisateurs de coding agents leakent deux fois plus de secrets que les développeurs traditionnels, et une nouvelle catégorie de “vibe codeurs” sans formation sécurité produit du code rempli de clés API directement dans les fichiers de config.

Eric détaille la nouvelle économie d’attaque où voler des secrets est devenu l’objectif #1 : que ce soit via du phishing, du social engineering ou des compromissions supply chain comme Shai-Hulud, LiteLLM ou l’attaque récente sur NX, tout converge vers le même but. Les machines des développeurs sont devenues la cible privilégiée parce qu’elles concentrent à la fois les accès, les secrets et maintenant les coding agents connectés à tout (GitHub, Jira, CRM, bases de données) via MCP et autres intégrations.

La conversation s’attaque ensuite au cas Axios et à la méthode des Nord-Coréens qui exploitent l’ingénierie sociale pour piéger les mainteneurs de packages open source — un faux call de business, un faux fichier joint, et c’est tout l’écosystème en aval qui se retrouve compromis. Patrick et Steve ramènent le débat sur la réalité des PME québécoises qui ne savent même pas où sont leurs secrets, et encore moins comment gérer un vault.

L’épisode se termine sur une réflexion essentielle : la sécurité n’est pas une valeur absolue, c’est un trade-off. Les approches les plus parfaites sont souvent celles qui découragent les équipes et finissent par ne jamais être implémentées. Eric annonce aussi la récente levée de fonds de 50 M$ de GitGuardian et leur recrutement actif.