Grafana affirme qu’un identifiant volé a conduit à une tentative de vol de code

Grafana Labs, l’entreprise à l’origine de la plateforme d’observabilité open source largement utilisée, affirme avoir été piratée après que des attaquants ont exploité un jeton volé leur donnant accès à son environnement de développement GitLab. Selon les déclarations publiques de l’entreprise, le jeton compromis n’a pas permis d’accéder aux dossiers clients ni aux informations financières, mais il a permis aux attaquants d’obtenir les dépôts de code source de l’entreprise.

L’entreprise dit avoir déjà invalidé le jeton et ajouté des mesures de sécurité supplémentaires pendant que son enquête se poursuit. Elle indique aussi qu’elle publiera davantage de conclusions une fois cette analyse terminée.

Tentative d’extorsion rejetée

Grafana affirme que l’attaquant a exigé un paiement en échange de ne pas divulguer la base de code. L’entreprise a refusé. Pour expliquer cette décision, Grafana a invoqué une orientation de longue date du FBI qui déconseille aux victimes de payer les extorqueurs, car le paiement ne garantit pas la restitution sûre des données ni n’empêche une publication ultérieure.

L’affaire est inhabituelle car le logiciel phare de Grafana est open source et déjà accessible publiquement. Cela complique l’accusation d’extorsion: même si des attaquants ont pu accéder à des dépôts, l’entreprise dit que son code principal est public par conception, ce qui laisse ouverte la question de savoir si d’autres éléments internes propriétaires ont aussi été emportés.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic dépose confidentiellement pour lancer le processus d’introduction en bourse

Anthropic indique avoir soumis une ébauche de déclaration d’enregistrement à la Securities and Exchange Commission des États-Unis, lançant ainsi le processus vers une cotation publique.

Read article

Pourquoi cela reste important pour une entreprise open source

Même lorsqu’un produit central est open source, une compromission des systèmes de développement reste un incident de sécurité grave. Les dépôts de code source peuvent contenir bien plus que le code téléchargé par les utilisateurs. Ils peuvent aussi inclure des outils internes, des fonctionnalités non encore publiées, des scripts opérationnels, des historiques de tickets et des détails d’architecture susceptibles d’aider des attaquants à comprendre comment une entreprise construit et déploie ses logiciels.

C’est pourquoi la déclaration de Grafana selon laquelle aucune donnée client ni financière n’a été consultée est importante, mais insuffisante pour banaliser l’incident. L’accès aux systèmes d’ingénierie crée ses propres risques, surtout si des attaquants peuvent cartographier des processus internes ou rechercher des secrets qui auraient été commis par erreur.

Un schéma croissant dans la sécurité logicielle

Cette intrusion reflète aussi une réalité plus large de la sécurité logicielle: les identifiants volés restent l’une des voies les plus rapides vers les systèmes critiques. Plutôt que de découvrir une faille inédite dans le produit ciblé, les attaquants visent souvent le point plus faible autour de celui-ci, comme un jeton, un mot de passe ou un mécanisme d’accès qui déverrouille l’infrastructure de développement.

Les plateformes de développement comme GitLab se trouvent au cœur d’une entreprise logicielle moderne. Elles peuvent exposer du code, des traces de collaboration, des pipelines de publication et, dans certains cas, des chemins de déploiement. Cela en fait des cibles attractives même lorsque le produit final est lui-même open source.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

L’usage d’un VPN sur les Smart TV devient un enjeu de sécurité du réseau domestique

Un VPN basé sur le routeur pour les Smart TV est présenté non seulement comme un moyen d’accéder au streaming, mais aussi comme une façon de réduire l’exposition des données sur l’ensemble des appareils connectés du foyer.

Read article

Contraste avec de récentes décisions de rançon ailleurs

TechCrunch note un contraste avec le cas récent de l’entreprise de technologie éducative Instructure, qui aurait conclu un accord pour payer des attaquants après une compromission distincte impliquant des données volées puis une défiguration du site web. Grafana a pris la position inverse, estimant que le refus de payer est la réponse la plus défendable.

Cette position sera probablement saluée par de nombreux professionnels de la sécurité, qui soutiennent depuis longtemps que les paiements réguliers de rançon entretiennent le modèle économique criminel derrière les attaques d’extorsion. En parallèle, les entreprises qui refusent de payer acceptent la possibilité que les éléments volés puissent malgré tout être publiés.

Ce qu’il faut surveiller ensuite

La question la plus importante, encore sans réponse, est de savoir si les attaquants ont obtenu autre chose que des dépôts liés au code public de Grafana. L’entreprise n’a pas encore indiqué si du code interne propriétaire, des identifiants ou de la documentation opérationnelle ont été exposés. Son rapport final d’incident déterminera s’il s’agissait surtout d’une tentative d’extorsion embarrassante ou d’une compromission d’ingénierie plus grave.

Pour l’instant, les faits les plus clairs sont étroits mais significatifs: un jeton volé a ouvert la porte, des dépôts de code source ont été consultés, les données client et financières n’ont pas été exposées selon l’entreprise, et Grafana a choisi de ne pas payer.

Cet article s’appuie sur le reportage de TechCrunch. Lire l’article original.

NVIDIA
More in News

NVIDIA dévoile RTX Spark pour pousser les PC IA encore plus loin sur Windows

NVIDIA a présenté RTX Spark, une puce Windows basée sur Arm qui, selon elle, peut offrir jusqu’à 1 petaflop de performances IA pour les ordinateurs portables et les bureaux compacts.

Read article

Originally published on techcrunch.com