GitGuardian révèle une progression de 81 % des fuites liées aux services d'IA tandis que 29 millions de secrets sont détectés sur GitHub public

GitGuardian révèle une progression de 81 % des fuites liées aux services d'IA tandis que 29 millions de secrets sont détectés sur GitHub public

L'IA amplifie la prolifération des secrets. GitGuardian révèle une progression de 81 % des fuites liées aux services d'IA tandis que 29 millions de secrets sont détectés sur GitHub public. En 2025, les commits de développeurs utilisant Claude Code présentent un taux de fuite de secrets de 3,2 % contre 1,5 % en moyenne. Le facteur humain demeure déterminant.

GitHub est un service web d'hébergement et de gestion de développement de logiciels, utilisant le logiciel de gestion de versions Git. Le site assure un contrôle d'accès et des fonctionnalités destinées à la collaboration comme le suivi des bugs, les demandes de fonctionnalités, la gestion de tâches et un wiki pour chaque projet. Le site est devenu le plus important dépôt de code au monde, utilisé comme dépôt public de projets libres ou dépôt privé d'entreprises.

GitGuardian, leader français de cybersécurité et éditeur d'une des applications la plus installée de GitHub, a publié la 5ᵉ édition de son rapport annuel « State of Secrets Sprawl ». Le rapport analyse comment l'adoption généralisée de l'IA en 2025 a profondément transformé le développement logiciel et accéléré l'exposition des identités machines et de leurs secrets au sein des dépôts de code publics et privés.

Alors que l'écosystème logiciel croît rapidement, le nombre de secrets divulgués augmente plus vite encore, et le traitement des incidents accuse un retard croissant. En 2025, l'adoption de l'IA a définitivement transformé l'ingénierie logicielle :

- Augmentation de +43 % en glissement annuel des commits publics, avec un rythme de croissance au moins deux fois supérieur à celui des années précédentes.

- Depuis 2021, les secrets croissent environ 1,6 fois plus vite que la population de développeurs actifs.

- En moyenne sur l'année, les taux de fuite de secrets dans le code assisté par IA sont environ deux fois supérieurs à ceux observés sur l'ensemble de GitHub.

Ensemble, ces forces ont entraîné une augmentation annuelle de +34 % du nombre de nouveaux secrets exposés sur GitHub, atteignant ~29 millions de secrets détectés au total, marquant la plus forte augmentation annuelle jamais enregistrée.


Neuf enseignements pour les RSSI sécurisant les identités non humaines (NHI)

En informatique et en gestion des données, un « commit » désigne l'opération qui marque la fin d'une transaction et garantit les principes d'atomicité, de cohérence, d'isolation et de durabilité (ACID) dans les transactions. Les enregistrements de commit sont stockés dans le journal des commits afin de permettre la récupération et d'assurer la cohérence en cas de défaillance. En matière de transactions, le contraire d'un commit consiste à abandonner les modifications provisoires apportées à la transaction, ce qui s'appelle un « rollback ».

Les identifiants exposés demeurent un vecteur d'attaque persistant et critique. En 2025, l'assistance IA a accéléré la création logicielle et multiplié le nombre de tokens, clés et identités de service intégrés dans les architectures modernes, sans que la gouvernance n'évolue au même rythme.

Les assistants IA amplifient le risque pour de nouvelles catégories d'identifiants

1. Les commits réalisés avec l'assistance de Claude Code ont révélé des fuites de secrets dans environ 3,2 % des cas, soit deux fois plus que la moyenne de référence. Le développement assisté par IA a démocratisé la création de logiciels, permettant à des développeurs sans formation de concevoir rapidement des applications. Toutefois, cette accessibilité s'accompagne d'une faille en matière de sécurité : les développeurs moins expérimentés peuvent manquer de vigilance sur ces questions et ignorer les avertissements de l'IA, voire demander explicitement aux outils d'inclure des informations sensibles. Ces fuites de secrets reflètent en définitive des erreurs humaines, et pas seulement des défaillances de l'IA.

2. Les fuites d'identifiants de services IA enregistrent la croissance la plus forte : les fuites liées aux services d'IA ont connu une hausse annuelle de 81 % (pour atteindre 1 275 105), et sont plus susceptibles de contourner les protections conçues principalement pour les workflows de développement conventionnels.

3. Le risque lié à la configuration MCP émerge : la documentation des serveurs MCP recommande souvent de placer les identifiants directement dans les fichiers de configuration plutôt que d'utiliser des modèles d'authentification client plus sûrs. Cela a contribué à l'exposition de 24 008 secrets uniques dans les fichiers de configuration MCP étudiés.


L'IA étend la surface d'attaque du jour au lendemain

4. Les dépôts de code internes restent le plus grand réservoir d'exposition. Ils sont ~6 fois plus susceptibles que les dépôts publics de contenir des secrets en dur.

5. La prolifération des secrets s'étend au-delà du code : ~28 % des incidents proviennent de fuites dans les outils de collaboration et de productivité, où les identifiants peuvent être exposés à un cercle plus étendu d'utilisateurs, aux automatisations et aux agents IA.

6. Les postes de travail des développeurs font désormais partie de la surface d'exposition des secrets. À mesure que les agents IA obtiennent un accès local plus profond (éditeurs, terminaux, fichiers, stockages d'identifiants), l'injection de prompts et les attaques de type supply chain (Shai-Hulud par exemple) peuvent transformer les secrets locaux en risque organisationnel.

« Les agents IA ont besoin d'identifiants locaux pour se connecter aux systèmes, transformant les ordinateurs portables des développeurs en une surface d'attaque massive. Nous avons construit notre outil d'analyse locale et d'inventaire des identités pour les protéger. Les équipes de sécurité doivent cartographier précisément les secrets présents sur chaque machine, afin d'identifier les failles critiques comme les accès à privilèges excessifs et les clés de production exposées », déclare Éric Fourrier, PDG de GitGuardian.


L'industrie fait face à une dette croissante et a besoin de gouvernance des NHI, pas seulement de détection

7. Les secrets à longue durée de vie dominent toujours : ~60 % des manquements aux politiques de sécurité concernent des identifiants qui persistent dans le temps, ce qui témoigne de la lente transition vers des accès temporaires et limités au strict nécessaire.

8. La priorisation est plus difficile qu'il n'y paraît : ~46 % des secrets critiques n'ont aucun mécanisme de validation fourni par le fournisseur, nécessitant des signaux contextuels (emplacement, utilisation, consommateurs en aval et gestionnaires de secrets) pour évaluer l'exploitabilité réelle.

9. Le traitement des incidents échoue à grande échelle : 64% des secrets fuités en 2022 et toujours valides n’ont pas été traités en 2026, le plus souvent parce que les équipes de sécurité manquent des capacités de gouvernance nécessaires pour traiter les incidents de manière viable et récurrente.

GitGuardian estime que la prochaine phase des programmes de sécurité doit traiter les identités non humaines comme des actifs stratégiques à part entière : avec une gouvernance dédiée, du contexte et une automatisation du traitement des incidents aussi bien dans les dépôts de code que dans les autres surfaces d'exposition.


A propos de GitGuardian

GitGuardian est le leader de la sécurité des identités machines. En s'appuyant sur l'inventaire exhaustif des secrets d'une organisation, la priorisation et la remédiation des fuites à grande échelle, GitGuardian offre à ses clients la protection de leurs identités machines et leur permet de maîtriser leur exposition aux attaques cyber. Application la plus installée de la marketplace GitHub, largement adoptée par les communautés de développeurs, GitGuardian est utilisée par plus de 600 000 développeurs et des entreprises de premier plan, telles que Snowflake, Orange, Deutsche Telekom, ING, BASF et Bouygues Telecom.

Source : Rapport « State of Secrets Sprawl »

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

70 % des informations d'identification divulguées restent actives deux ans plus tard, créant une surface d'attaque en expansion qui devient plus dangereuse chaque jour, selon une étude de GitGuardian

Une étude révèle que 10 millions de nouveaux secrets ont été exposés par les développeurs dans les commits publics sur GitHub en 2022, soit une augmentation de 67 % par rapport à 2021

Le monde «pourrait ne pas avoir le temps» de se préparer aux risques liés à la sécurité de l'IA, selon un chercheur. L'industrie joue-t-elle avec le feu en déployant des systèmes que personne ne maîtrise ?