Si le nom de Git Guardian vous dit quelque chose, c’est que vous avez peut-être déjà reçu une alerte de la société vous signalant gentiment que vous aviez laissé un identifiant d’accès sur un répertoire public Github. C’est en effet la spécialité de cette petite entreprise de 18 employés, lancée en 2017 par Jeremy Thomas et Éric Fourrier. « Notre travail, c’est d’aider les développeurs à sécuriser leur code et d’aider les entreprises à limiter les fuites de données » explique Jeremy Thomas à ZDNet.fr.
Pour parvenir à leurs fins, Git Guardian compte sur sa technologie de détection des données critiques et identifiants laissés exposés par mégarde. Détecter en temps réel les clefs de chiffrement, certificats de sécurité, token d’identification et autres mots de passe, c’est le pain quotidien de Git Guardian. La société propose une solution gratuite destinée aux développeurs, et une offre payante (comptez entre 40 000 et 100 000 euros d’abonnement annuel) à destination des entreprises qui souhaitent bénéficier d’un service de surveillance en temps réel pour identifier et bloquer d’éventuelles fuites de données critiques (les « secrets ») qui ne devraient pas se retrouvés exposés en public.
publicité
Surveiller et prévenir
« Nous cherchons à détecter et identifier ces fuites d’identifiants critiques, puis à prévenir le développeur à l’origine de la faute et son entreprise afin qu’ils puissent corriger le problème », explique Jeremy Thomas. Pour cela, Git Guardian n’y va pas par quatre chemins : la société se charge d’identifier les développeurs travaillant pour les entreprises clientes de sa solution, et d’analyser les dépôts de code publics de ces développeurs.
Et même ceux n’ayant rien à voir avec le travail des développeurs dans l’entreprise : si vous maintenez un projet open source sur vos week-ends, mais que vous travaillez en semaine pour une entreprise cliente de Git Guardian, le service ira jeter un œil au code poussé dans les projets que vous affichez publiquement afin de voir si vous n’avez pas laissé passer un identifiant ou une clef de chiffrement critique appartenant à l’entreprise. « On estime généralement que lorsqu’une entreprise emploie 1000 développeurs, on est capable d’en voir 300 à 400 exposés publiquement », explique Jeremy Thomas. Une activité publique qui est ici conçue comme un risque potentiel d’exposition d’identifiants.
Pour prévenir ces fuites de données, le service Git Guardian peut compter sur ses solutions de détection. Et vu de l’oeil de GitGuardian, ces expositions malencontreuses de données sensibles arrivent quotidiennement : « On identifie environ 3000 identifiants exposés par jour, et on envoie 1000 alertes à nos clients. Ensuite, grâce au feedback des sociétés qui utilisent nos services, on peut améliorer l’efficacité de notre moteur de détection. »
La solution ne laisse pas indifférent : Git Guardian annonce aujourd’hui une levée de fonds de 11 millions d’euros en série A, dans un tour de table mené par Balderton Capital. L’objectif affiché : recruter une cinquantaine de nouveaux employés sur les deux années à venir, et continuer de développer les activités à l’international, où la société compte 75 % de sa clientèle.
Pas un doublon
Si la solution vous rappelle quelque chose, c’est peut-être parce que Github s’attelle également à détecter ce type d’information à l’aide de ses propres solutions de détection depuis un an. Pour Jeremy Thomas néanmoins, les annonces de Github ne remettent pas en question le modèle de GitGuardian : « Les fonctionnalités annoncées par Github ne sont pas destinées au marché des entreprises. Déjà parce qu’ils ne préviennent pas directement les entreprises concernées par la fuite d’identifiant : ils se contentent de prévenir le service concerné (AWS, Azure ou autres, NDLR). Ce sont ces services qui décident ensuite des mesures à prendre, révoquer l’identifiant en question, contacter la société gestionnaire du dépôt pour l’alerter ou non, etc. Enfin parce que leur périmètre de détection représente 5 % de ce que notre solution détecte. »
L’approche de Github peut aider à résoudre des problèmes pour des développeurs indépendants, mais qui ne conviendra pas forcément à une grande entreprise. Pour Jeremy Thomas, ces annonces sont plutôt une aubaine : « Cela sensibilise les utilisateurs et au final, cela nous ramène plutôt de nouveaux clients. »
Git Guardian souhaite donc se démarquer en proposant un service adapté aux besoins des entreprises et placé sous le sceau de la confidentialité et du professionnalisme. Dans ses offres entreprises, GitGuardian ne se limite d’ailleurs pas à Github. « Nous avons développé notre solution sur Github, car c’était notre univers, mais notre solution de détection est également disponible pour les entreprises qui voudraient faire de la détection sur leurs services privés, tels que les services de messagerie interne. C’est un véritable enjeu de sécurité : les attaquants qui parviennent à prendre le contrôle de serveur mail ou de messagerie interne à l’entreprise peuvent généralement mettre la main sur de nombreux identifiants ou secrets échanges par les employés via ces outils » explique Jeremy Thomas.
Comments