Secrets codés en dur dans le code.

Insertion d'identifiants, clés API, jetons ou matériel cryptographique directement dans le code source, des fichiers de configuration ou des images conteneurs, où ils sont aisément découverts et abusés. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Insertion d'identifiants, clés API, jetons ou matériel cryptographique directement dans le code source, des fichiers de configuration ou des images conteneurs, où ils sont aisément découverts et abusés.

Les secrets codés en dur sont l'une des erreurs les plus fréquentes et dommageables du développement moderne. Ils se retrouvent dans l'historique Git, les couches de conteneur, les applications mobiles, les logs CI et les dépôts publics, où des bots les détectent en quelques minutes. Cas réels : clés AWS commitées sur GitHub, tokens Slack dans des bundles client, mots de passe DB cuits dans des images Docker. Les mitigations combinent prévention (formation, hooks pre-commit, plugins IDE, patrons .gitignore), détection (secret scanning sur dépôts et CI : GitHub secret scanning, Gitleaks, TruffleHog) et gestion centralisée (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, External Secrets pour Kubernetes). À la détection, il faut renouveler les secrets immédiatement, et pas seulement les supprimer de l'historique.

Les défenses contre Secrets codés en dur dans le code combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Identifiants codés en dur, Fuite de secrets dans le code.