8 min de lecture

Gestion des secrets - 09 - Glossaire

Tous les termes de la gestion des secrets : vault, rotation, chiffrement at rest, IAM, SOPS, et plus.

sécurité secrets glossaire apprentissage
Gestion des secrets et vaults 10 / 10
  1. 01 Gestion des secrets - 00 - Pourquoi ton .env finira par te trahir
  2. 02 Gestion des secrets - 01 - Les 7 problèmes des secrets en .env
  3. 03 Gestion des secrets - 02 - Les solutions : du .env au vault manager
  4. 04 Gestion des secrets - 03 - Google Secret Manager : le guide pratique
  5. 05 Gestion des secrets - 04 - AWS Secrets Manager et ses alternatives
  6. 06 Gestion des secrets - 05 - HashiCorp Vault : le couteau suisse du secret management
  7. 07 Gestion des secrets - 06 - SOPS + age : chiffrer ses secrets dans git
  8. 08 Gestion des secrets - 07 - Secrets dans CI/CD : GitLab, GitHub et les bonnes pratiques
  9. 09 Gestion des secrets - 08 - Rotation des secrets : comment ne rien casser
  10. 10 Gestion des secrets - 09 - Glossaire
← Precedent

09 - Glossaire

Tous les termes utilises dans cette serie, expliques simplement. Les définitions sont orientees "gestion des secrets" : si un terme a un sens plus large en sécurité ou en informatique, c'est le sens pertinent a notre contexte qui est donne ici.

age

Outil de chiffrement moderne créé par Filippo Valsorda. Remplace PGP pour les usages courants (chiffrer un fichier, un secret). Utilise X25519 pour l'échange de clés et ChaCha20-Poly1305 pour le chiffrement. Fonctionne en tandem avec SOPS pour chiffrer des fichiers de configuration. Pas de keyring, pas de configuration complexe : une clé publique, une clé privee, c'est tout.

Voir : SOPS + age

AppRole

Méthode d'authentification de HashiCorp Vault conçu pour les machines et les pipelines CI/CD. Fonctionne avec un couple role_id (identifiant public du rôle) et secret_id (credential a usage unique ou limite dans le temps). L'application s'authentifié avec ces deux valeurs et recoit un token temporaire pour acceder aux secrets.

Voir : HashiCorp Vault

At rest / In transit

Deux états d'un secret. "At rest" (au repos) : le secret est stocke quelque part (disque, base de donnees, vault). "In transit" (en transit) : le secret circule sur le réseau (appel API, connexion SSH). Le chiffrement at rest protégé contre le vol de disque ou l'acces non autorise au stockage. Le chiffrement in transit (TLS) protégé contre l'interception réseau. Un bon système chiffre dans les deux états.

Authentication method

Dans le contexte de Vault : la facon dont un utilisateur ou une application prouve son identité pour obtenir un token d'acces. Exemples : token direct, AppRole pour les machines, OIDC pour les humains, certificats TLS. Chaque méthode a ses cas d'usage.

Certificate

Fichier numérique qui lie une clé publique a une identité (nom de domaine, organisation). Les certificats TLS/SSL sont les plus courants : ils permettent le HTTPS. Dans le contexte des secrets, un certificat est lui-meme un secret a gerer (expiration, renouvellement, stockage sécurisé). Let's Encrypt en généré gratuitement.

Voir aussi : la serie sur le chiffrement TLS

Credential

Terme générique pour "ce qui permet de s'authentifier". Un couple login/mot de passe est un credential. Un token API est un credential. Une clé SSH est un credential. Dans le contexte des secrets, credential est souvent utilise pour les couples username+password d'acces a une base de donnees ou un service.

Dynamic secret

Secret généré a la demande et qui expire automatiquement. L'oppose d'un secret statique. HashiCorp Vault peut générer des credentials de base de donnees temporaires : chaque application recoit un login/password unique qui expire au bout d'une heure. Si un set de credentials fuite, les degats sont limites dans le temps et en perimetre.

Voir : HashiCorp Vault

Encryption

Le processus de transformation de donnees lisibles en donnees illisibles sans la clé de dechiffrement. Deux grandes familles : le chiffrement symetrique (une seule clé pour chiffrer et dechiffrer, comme AES-256) et le chiffrement asymetrique (clé publique pour chiffrer, clé privee pour dechiffrer, comme RSA ou X25519).

Voir : la serie sur le chiffrement

Environment variable

Variable définie dans l'environnement d'exécution d'un processus. Accessible via process.env.MA_VARIABLE en Node/Bun, os.environ["MA_VARIABLE"] en Python, $MA_VARIABLE en bash. C'est la méthode standard pour injecter des secrets dans une application, recommandee par la methodologie Twelve-Factor App. Le fichier .env est un raccourci pour définir plusieurs variables d'environnement d'un coup.

HSM (Hardware Security Module)

Materiel physique dédié au stockage et a la gestion de clés cryptographiques. Les clés ne quittent jamais le HSM : les opérations de chiffrement/dechiffrement se font a l'intérieur. Utilise dans les environnements a haute sécurité (banques, gouvernements). Les cloud providers proposent des HSM manages : AWS CloudHSM, Google Cloud HSM, Azure Dedicated HSM. Pour la plupart des projets, un KMS logiciel suffit.

IAM (Identity and Access Management)

Système de gestion des identités et des droits d'acces. Dans le contexte des vaults cloud (Google, AWS, Azure), IAM definit qui peut lire, écrire ou administrer quels secrets. C'est ce qui permet de dire "le service A peut lire le secret X mais pas le secret Y". Le .env n'a pas d'équivalent : tout est accessible a quiconque lit le fichier.

Key Management

L'ensemble des pratiques autour de la gestion des clés : génération, stockage, distribution, rotation, revocation, destruction. Un KMS (Key Management Service) est un service dédié a ca. AWS KMS, Google Cloud KMS et Azure Key Vault sont des exemples. La gestion des clés est un sujet a part entière, couvert dans la serie sur le chiffrement.

Lease (Vault)

Dans HashiCorp Vault, duree de vie d'un secret ou d'un token. Quand Vault généré un secret dynamique, il y attache un lease (bail). A l'expiration du lease, le secret est revoque automatiquement. L'application peut renouveler le lease avant son expiration si elle a encore besoin du secret.

Masked variable

Variable CI/CD dont la valeur est remplacee par [MASKED] ou *** dans les logs du pipeline. Disponible dans GitLab CI et GitHub Actions. Le masquage n'est pas du chiffrement : c'est un filtre sur l'affichage des logs. Si la valeur apparaît dans un format différent (encodee en base64 par exemple), le masquage peut ne pas fonctionner.

Voir : Secrets dans CI/CD

OIDC (OpenID Connect)

Protocole d'authentification base sur OAuth 2.0. Permet le "login avec Google/GitHub/GitLab". Dans le contexte de Vault, OIDC est une méthode d'authentification pour les humains : tu te connectes a Vault avec ton compte Google ou GitLab, sans avoir a gerer un token manuellement.

PKI (Public Key Infrastructure)

Infrastructure de gestion de certificats numériques. HashiCorp Vault peut fonctionner comme une PKI interne : il généré et signe des certificats TLS pour tes services internes. Ca évité de dépendre de Let's Encrypt pour les communications entre services sur un réseau prive.

Policy

Dans HashiCorp Vault, un document HCL qui definit les droits d'acces. Une policy specifie quels chemins (paths) sont accessibles et avec quelles permissions (read, write, delete, list). Les politiques sont attachees aux tokens et aux méthodes d'authentification. Équivalent des politiques IAM chez AWS ou GCP, mais spécifique a Vault.

Rotation

Le processus de remplacement d'un secret par un nouveau. L'ancien est revoque, le nouveau prend sa place. La rotation peut etre manuelle (tu générés une nouvelle clé et tu la deploies) ou automatique (un service la généré et la distribue periodiquement). L'objectif : limiter la duree d'exposition d'un secret compromis.

Voir : Rotation des secrets

Secret

Toute information qui, si elle est exposee, cause un problème de sécurité. Cles API, mots de passe, tokens d'acces, clés SSH, certificats, clés de chiffrement. Un secret se distingue de la configuration par sa sensibilite : l'URL d'une API n'est pas un secret, mais le token pour y acceder en est un.

Secret Manager

Service cloud dédié au stockage et a la gestion de secrets. Google Secret Manager, AWS Secrets Manager, Azure Key Vault. Chiffrement au repos, contrôle d'acces par IAM, audit trail, versioning. C'est un vault gere par le cloud provider.

Voir : Google Secret Manager et AWS Secrets Manager

Sealed / Unsealed (Vault)

États de HashiCorp Vault en mode production. Au démarrage, Vault est "sealed" (scelle) : il ne peut rien lire ni écrire. Pour le deverrouiller, il faut fournir un nombre minimum de clés de deverrouillage (seuil de Shamir). Une fois "unsealed", Vault fonctionne normalement. Ce mecanisme protégé contre le vol du serveur : meme avec le disque, les donnees sont inaccessibles sans les clés d'unseal.

SOPS

Secrets OPerationS. Outil de chiffrement de fichiers développé a l'origine par Mozilla, maintenant un projet CNCF. Chiffre les valeurs dans des fichiers YAML, JSON, ENV ou INI en gardant les clés en clair. Fonctionne avec plusieurs backends de chiffrement : age, PGP, AWS KMS, Google Cloud KMS, Azure Key Vault. L'outil de référencé pour mettre des secrets chiffres dans git.

Voir : SOPS + age

Static secret

Secret dont la valeur est définie manuellement et ne change que lors d'une rotation. L'oppose d'un secret dynamique. Une clé API, un mot de passe, un token : ce sont des secrets statiques. C'est le type de secret le plus courant.

Token

Dans le contexte des secrets, un token est une chaîne de caractères qui donne acces a un service. Un token API (comme sk-ant-api03-xxx pour Anthropic) identifié et authentifié l'appelant. Dans Vault, un token est le résultat de l'authentification : il contient les droits d'acces et a une duree de vie limitee.

Vault

Terme générique pour un système de stockage sécurisé de secrets. Peut désigner un vault cloud (Google Secret Manager, AWS Secrets Manager) ou un vault self-hosted (HashiCorp Vault). Un vault chiffre les secrets au repos, contrôle les acces, garde un audit trail et gere le versioning. C'est l'évolution naturelle du fichier .env.

Navigation : Precedent : 08 - Rotation des secrets | Retour a l'introduction

Sources

Retrouve d'autres articles techniques sur paltemps.fr.

Publie le · Mis a jour le

Articles liés

Réservez un audit gratuit de 30 minutes. Je vous montre concrètement ce qu'on peut automatiser.

Découvrir Pal'Temps