À l’intérieur de la faille Vercel : comment un outil d’IA tiers a ouvert la porte aux cyber-intrus

Tout a commencé par un simple clic : un employé de Vercel utilisant un outil d’IA de confiance pour optimiser son flux de travail. Mais derrière cette commodité se cachait une menace invisible. Dans un exemple frappant de cyber-espionnage moderne, des attaquants ont exploité Context AI, un service tiers, pour pénétrer dans le sanctuaire intérieur de Vercel, un acteur majeur de l’infrastructure web. Conséquence : une course contre la montre pour contenir la brèche, protéger les clients et faire face aux vulnérabilités inhérentes à l’écosystème technologique interconnecté d’aujourd’hui.

La brèche s’est produite lorsqu’un compte Google Workspace d’un employé de Vercel a été détourné via Context AI, un outil d’IA tiers intégré à leur flux de travail. Cela a permis à l’attaquant de pivoter vers les environnements internes de Vercel, ciblant spécifiquement les variables d’environnement non signalées comme « sensibles ». L’entreprise assure que les données réellement sensibles - protégées par des mesures robustes - n’ont pas été touchées, mais la brèche a tout de même exposé certains identifiants clients.

Le rapport post-mortem de Vercel dresse le portrait d’un adversaire « sophistiqué », soulignant sa rapidité et sa compréhension technique approfondie de l’infrastructure de l’entreprise. Les experts en sécurité soupçonnent une attaque sur la chaîne d’approvisionnement, où le maillon le plus faible - ici, une intégration SaaS tierce - devient la porte d’entrée. L’acteur malveillant, utilisant le pseudonyme notoire ShinyHunters, n’a pas perdu de temps et a mis en vente les données volées pour la somme conséquente de 2 millions de dollars.

La réponse de Vercel a été rapide et multidimensionnelle : engagement de Mandiant et d’autres sociétés de sécurité, notification des autorités, et contact des clients concernés avec des instructions urgentes pour la rotation des identifiants. L’entreprise exhorte également tous les administrateurs Google Workspace à revoir les autorisations des applications et à auditer les variables d’environnement, en particulier celles non marquées comme sensibles. De nouvelles fonctionnalités de tableau de bord ont été déployées pour aider les utilisateurs à mieux gérer et sécuriser leurs secrets.

Cet incident rappelle brutalement que même les entreprises technologiques les plus innovantes ne sont sécurisées qu’à la hauteur de leur chaîne d’approvisionnement. À mesure que les organisations s’appuient de plus en plus sur les intégrations SaaS et les outils pilotés par l’IA, les attaquants cherchent les failles négligées dans l’armure numérique.

La faille chez Vercel n’a peut-être touché qu’un nombre limité de clients, mais ses implications sont bien plus larges. Cet épisode souligne l’urgence d’une gestion rigoureuse des risques liés aux tiers et la nécessité d’une vigilance constante à une époque où la commodité et la connectivité peuvent coûter cher en matière de sécurité.

WIKICROOK

• Supply : Une attaque sur la chaîne d’approvisionnement cible des fournisseurs ou services tiers afin de compromettre plusieurs organisations en exploitant des relations externes de confiance.
• Variables d’environnement : Les variables d’environnement sont des paramètres cachés d’un ordinateur qui stockent des informations importantes et sensibles, telles que des mots de passe ou des clés API, utilisées par des programmes et serveurs.
• Google Workspace : Google Workspace est une suite d’outils cloud, dont Gmail, Docs et Drive, conçue pour aider entreprises et écoles à collaborer efficacement.
• Application OAuth : Une application OAuth est une application tierce qui accède de manière sécurisée aux données d’un utilisateur sur une autre plateforme, avec son autorisation, via le protocole OAuth.
• Rotation des identifiants : La rotation des identifiants consiste à changer régulièrement mots de passe ou clés pour bloquer les attaquants et protéger les comptes, notamment après une faille de sécurité ou des changements de personnel.