Vercel - une plateforme de cloud computing pour les programmeurs, spécialisée dans la fourniture de services de déploiement et d'exploitation d'applications Web basée aux États-Unis, a confirmé une fuite de données, suscitant des inquiétudes quant à la tendance aux attaques de la chaîne d'approvisionnement via des outils d'intelligence artificielle (IA) tiers.
Bien que seuls quelques clients soient touchés, l'incident montre le niveau de sophistication croissant des cyberattaques à l'ère de l'IA.
Selon Vercel, les pirates informatiques ont profité d'une faille dans l'outil d'IA externe appelé Context AI pour pénétrer dans le système interne.
Le point de départ est le compte Google Workspace d'un employé qui a été piraté, à partir duquel l'agresseur a étendu l'accès à l'environnement de Vercel.
Il est à noter que les pirates informatiques ont profité des paramètres du système qui ne sont pas considérés comme des données sensibles pour y accéder et obtenir des informations. Alors que les données importantes sont souvent cryptées, les informations de configuration du système qui ne sont pas étiquetées comme sécurisées deviennent des points faibles, aidant les attaquants à recueillir plus d'informations.
Un représentant de l'entreprise a déclaré qu'il s'agissait d'une faille dans la configuration, et non d'une erreur dans le système de cryptage de base.
Vercel est l'unité derrière Next.js, un ensemble d'outils open source populaire développé sur la base de la bibliothèque React, qui permet de construire des sites web et des applications web plus rapides et plus efficaces.
Cette plateforme fournit des infrastructures sans serveur, des opérations frontales et des procédures CI/CD à des millions de programmeurs.
Par conséquent, tout incident peut avoir un impact généralisé dans l'écosystème de développement logiciel.
Le PDG de Vercel, Guillermo Rauch, a estimé que le groupe d'attaque était très qualifié et qu'il avait peut-être été soutenu par l'IA.
Ils agissent à une vitesse incroyable et comprennent profondément notre système", a écrit Guillermo Rauch sur le réseau social X.
La société a mobilisé des experts pour faire face à l'incident et a informé les organismes d'application de la loi.
Après l'incident, Vercel a rapidement mis en œuvre des mesures de sécurité renforcées, notamment l'amélioration du tableau de bord de gestion des variables environnementales et la recommandation aux clients de revoir les données sensibles. La société a également affirmé que les services de base et les projets open source restaient sûrs.
L'incident s'est produit dans un contexte où les projets d'IA open source sont constamment devenus des cibles d'attaques.
Des outils logiciels tels que LiteLLM ou Trivy ont également enregistré des incidents similaires, montrant une nouvelle tendance lorsque les pirates informatiques n'attaquent pas directement les entreprises mais ciblent la chaîne d'outils dont ils dépendent.
Un autre développement notable est que le groupe de hackers ShinyHunters a revendiqué et mis en vente les données volées.
Selon les rapports, ce groupe affirme posséder des clés API, des codes sources et des données internes, et a également exigé une rançon allant jusqu'à 2 millions de dollars. Cependant, il n'y a toujours pas de confirmation officielle du rôle de ce groupe dans l'affaire.
Les experts mettent en garde contre le fait que, à mesure que l'IA est de plus en plus intégrée au processus de développement de logiciels, les limites de la sécurité deviennent également plus complexes.
Les outils tiers, qui sont utilisés pour augmenter la productivité, peuvent involontairement devenir des "portes d'entrée" pour les attaques s'ils ne sont pas étroitement contrôlés.
L'incident de Vercel est un rappel que la sécurité ne réside pas seulement dans le système principal, mais aussi dans toute la chaîne d'outils associée. À l'ère de l'IA, un seul maillon faible suffit à créer des risques pour l'ensemble de l'écosystème.
