📊 Contexte

Publié le 24 mars 2026 par GitGuardian, le rapport annuel State of Secrets Sprawl 2026 (5ème édition) analyse la prolifération des secrets (credentials, API keys, tokens) dans les dépôts publics et privés, les outils collaboratifs et les environnements locaux. Il s’appuie sur l’analyse de commits GitHub publics, de datasets de machines compromises et de configurations d’infrastructure IA.

🔑 Chiffres clés sur GitHub public

  • 28,65 millions de nouveaux secrets hardcodés ajoutés aux commits GitHub publics en 2025 (+34% YoY, plus forte hausse jamais enregistrée)
  • 1,94 milliard de commits publics en 2025 (+43% YoY)
  • Base de développeurs actifs en hausse de 33%

🤖 Explosion des fuites liées à l’IA

  • 1 275 105 secrets de services IA détectés en 2025, soit +81% YoY
  • 113 000 clés API DeepSeek exposées citées comme exemple
  • 8 des 10 détecteurs à la croissance la plus rapide sont liés à des services IA
  • L’infrastructure LLM (orchestration, RAG, vector storage) fuite 5× plus vite que les fournisseurs de modèles core
  • Les commits assistés par Claude Code affichent un taux de fuite de 3,2% vs 1,5% en baseline

⚙️ Fuites dans les configurations MCP

  • 24 008 secrets uniques exposés dans des fichiers de configuration MCP sur GitHub public
  • 2 117 credentials valides uniques identifiés (8,8% des findings MCP)
  • Les guides de documentation officiels encouragent souvent des patterns non sécurisés (API keys en dur dans les fichiers de config)

🏢 Dépôts internes et outils collaboratifs

  • Les dépôts internes sont 6× plus susceptibles de contenir des secrets hardcodés que les dépôts publics
  • 28% des incidents proviennent entièrement hors des dépôts (Slack, Jira, Confluence)
  • Les fuites hors code sont 13 points de pourcentage plus susceptibles d’être classées critiques

💻 Machines développeurs et CI/CD

  • Analyse du dataset Shai-Hulud 2 : 6 943 machines compromises, 294 842 occurrences de secrets, 33 185 secrets uniques
  • 59% des machines compromises étaient des runners CI/CD (pas des postes personnels)
  • Les agents IA avec accès local (terminaux, variables d’environnement, credential stores) élargissent la surface d’attaque

⏳ Lacunes de remédiation

  • 64% des secrets valides de 2022 sont encore actifs et exploitables en janvier 2026
  • 46% des secrets critiques sont manqués par une priorisation basée uniquement sur la validation automatique

📌 Type d’article

Rapport de recherche annuel à visée CTI et sensibilisation, publié par GitGuardian pour quantifier l’ampleur de la prolifération des secrets dans les environnements de développement modernes, avec focus sur l’impact de l’IA générative.

🧠 TTPs et IOCs détectés

TTP

  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1195 — Supply Chain Compromise (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1528 — Steal Application Access Token (Credential Access)

Malware / Outils

  • Shai-Hulud 2 (stealer)

🔗 Source originale : https://blog.gitguardian.com/the-state-of-secrets-sprawl-2026/