La faille de Vercel expose des données clients dans un incident de chaîne d'approvisionnement lié à OAuth

Une faiblesse de la chaîne d'approvisionnement a touché une plateforme web centrale

Vercel affirme que des pirates ont compromis ses systèmes internes et accédé à des données clients après avoir pris le contrôle d'un compte employé via une connexion OAuth liée à des logiciels de Context AI. L'entreprise a indiqué que les attaquants ont utilisé cette connexion pour s'emparer du compte professionnel d'un employé de Vercel hébergé chez Google, puis ont pénétré dans certains systèmes internes où certaines informations d'identification étaient stockées sans chiffrement.

L'incident dépasse largement le cadre d'un seul fournisseur. Vercel est profondément intégrée à l'infrastructure web moderne, et ses services hébergés, ses outils pour développeurs et ses flux de déploiement sont utilisés par un grand nombre d'équipes logicielles. Lorsqu'une plateforme à cette place est compromise, le risque ne s'arrête pas à la première victime. Il se propage aux environnements clients, aux identifiants partagés et aux chaînes d'approvisionnement logicielle qui dépendent de ces systèmes.

Ce que Vercel dit avoir été touché

Selon l'entreprise, des données d'applications clients et des clés figuraient parmi les informations exposées. Vercel a contacté les clients concernés, et son PDG Guillermo Rauch a conseillé aux utilisateurs de faire tourner toutes les clés et informations d'identification des déploiements d'applications marqués comme non sensibles. L'entreprise a également indiqué que la faille n'avait pas affecté Next.js ni Turbopack, ses projets open source largement utilisés.

Des pirates auraient affirmé avoir volé des identifiants clients sensibles et proposer ces données à la vente en ligne. Une annonce d'un acteur de menace vue par TechCrunch indiquait que les données comprenaient des clés API clients, du code source et des informations de base de données. L'acteur a revendiqué un lien avec le groupe ShinyHunters, bien que ShinyHunters ait nié toute implication auprès d'un autre média cité dans le rapport.

Le problème OAuth est l'avertissement principal

Les détails techniques publiés jusqu'ici renvoient à un risque familier mais encore mal maîtrisé : les intégrations de confiance. OAuth est conçu pour permettre aux utilisateurs de connecter des services sans partager directement leurs mots de passe, mais il crée aussi une chaîne d'accès délégué. Si une application de cette chaîne est compromise, le rayon d'impact peut s'étendre à des systèmes critiques pour l'entreprise qui n'auraient jamais dû être exposés.

Vercel a indiqué que la faille provenait de Context AI, dont l'application grand public Office Suite permet aux utilisateurs d'automatiser des flux de travail entre des applications tierces. Context AI a reconnu une faille en mars impliquant cette application et a déclaré avoir notifié un client à l'époque. À la lumière de la divulgation de Vercel, l'incident semble désormais plus vaste qu'on ne le pensait initialement.

C'est cette séquence qui rend l'événement notable. Il n'a pas été décrit comme une intrusion directe contre les produits phares de Vercel. Au contraire, il semble avoir commencé avec un employé utilisant une application connectée, puis s'être aggravé via le détournement du compte jusqu'à l'accès interne et l'exposition de secrets. C'est précisément le type de chemin indirect qui inquiète les équipes de sécurité à mesure que les écosystèmes SaaS deviennent plus imbriqués.

Pourquoi les répercussions pourraient aller plus loin

Vercel a averti que l'incident pourrait affecter des centaines d'utilisateurs dans de nombreuses organisations, et pas seulement son propre environnement. Ce choix de mots suggère une inquiétude concernant une compromission en aval, où des clés exposées ou des données d'application pourraient devenir des points d'entrée vers les systèmes clients. Pour les entreprises qui déploient des applications de production via Vercel, la question immédiate n'est pas seulement ce que Vercel a perdu, mais ce que cet accès a pu permettre ailleurs.

La leçon générale est que la sécurité cloud moderne dépend de plus en plus de la gestion des dépendances, et pas seulement de la défense du périmètre. Les entreprises peuvent durcir leurs propres systèmes tout en héritant des risques des applications que leur personnel connecte, des fournisseurs sur lesquels ces applications s'appuient et des identifiants qui circulent sur ces liens. Cette faille est le dernier rappel en date que les attaques de la chaîne d'approvisionnement logicielle ne se limitent plus aux paquets empoisonnés ou aux mises à jour compromises. OAuth et l'automatisation des workflows peuvent créer des voies tout aussi dangereuses.

Vercel dit poursuivre son enquête et chercher des réponses auprès de Context AI. Tant que davantage de détails techniques n'auront pas émergé, la réponse pratique pour les clients reste la même : faire tourner les clés, examiner les applications liées et considérer les intégrations de commodité comme faisant partie de la surface d'attaque plutôt que comme une couche de productivité inoffensive.

Cet article s'appuie sur le reportage de TechCrunch. Lire l'article original.