![[PODCAST] Les attaquants ne piratent plus, ils se connectent : l’explosion des secrets exposés](https://incyber.org//wp-content/uploads/2024/09/incyber-news-cybersecurite-cybersecurity-attack-intrusion-2024-1920x735.jpg)
PODCAST Les attaquants ne piratent plus, ils se connectent : l’explosion des secrets exposés
Épisode disponible sur toutes les plateformes : https://smartlink.ausha.co/incyber-voices
Le volume reste le premier signal visible : 28,65 millions de secrets compromis en 2025, soit une hausse de 34 % en un an. Le point le plus préoccupant se situe ailleurs, dans la durée de vie de ces accès. Parmi les secrets exposés en 2022, 66 % fonctionnent encore fin 2025. Une clé divulguée peut donc rester exploitable plusieurs années sans être désactivée, ce qui transforme chaque fuite en point d’entrée durable.
Pour un attaquant, le scénario ne demande pas de sophistication particulière. Un token récupéré sur un dépôt public donne un premier accès, souvent limité en apparence. À partir de là, il devient possible d’explorer des dépôts privés, d’identifier d’autres identifiants, puis d’atteindre des bases de données ou des environnements cloud. L’attaque progresse par enchaînement, sans rupture nette, avec des accès qui semblent légitimes à chaque étape.
Ce mode opératoire complique le travail des outils de sécurité classiques. Les systèmes de détection sont conçus pour repérer des comportements anormaux, mais ici l’attaquant utilise des identifiants valides et reproduit des actions proches de celles d’un utilisateur. La distinction devient floue, ce qui retarde la détection et laisse davantage de temps pour exploiter les accès.
L’année 2025 a introduit un facteur supplémentaire. La production de code a fortement augmenté sous l’effet des outils d’IA, et avec elle le nombre de profils capables de publier sans maîtriser les pratiques de sécurité. Le volume de commits progresse, les erreurs aussi, ce qui alimente directement la hausse des fuites de secrets.
Ces fuites ne se limitent plus aux dépôts publics. Les outils collaboratifs, les conteneurs et les postes développeurs deviennent des sources fréquentes, car les identifiants y circulent et y sont souvent stockés sans contrôle strict. Le périmètre à surveiller s’élargit, alors même que les dispositifs de sécurité restent souvent centrés sur des zones plus traditionnelles.
Autre évolution, les identités non humaines prennent de plus en plus de place. API, services automatisés et agents logiciels disposent de leurs propres accès pour interagir entre systèmes. Leur nombre dépasse largement celui des utilisateurs, mais leur gestion reste incomplète dans beaucoup d’organisations, avec peu de visibilité sur leur cycle de vie ou leurs privilèges.
Le sujet des secrets ne relève plus seulement de la technique. Il concerne l’organisation, la gouvernance et la capacité des entreprises à suivre, limiter et renouveler leurs accès dans le temps. Tant que ces pratiques restent fragiles, les attaquants n’ont pas besoin de chercher une faille : ils trouvent déjà la porte ouverte.