Au cours des dernières 24 heures, le monde a appris de graves violations affectant le service de chat Slack et la société de test et de livraison de logiciels CircleCI, tout en donnant aux entreprises des termes opaques – “problème de sécurité” et “incident de sécurité”, respectivement – vous seriez pardonné pour penser que ces événements étaient mineurs.
Les compromis – dans le cas de Slack, le vol des informations d’identification des employés et pour CircleCI, l’exposition possible de tous les secrets des clients qu’il stocke – surviennent deux semaines après que le gestionnaire de mots de passe LastPass a révélé sa propre défaillance de sécurité : le vol des coffres-forts de mots de passe des clients contenant des données sensibles. sous forme de texte crypté et en clair. Il n’est pas clair si les trois violations sont liées, mais c’est certainement une possibilité.
La plus préoccupante des deux nouvelles brèches est celle qui frappe CircleCI. Mercredi soir, la société a signalé un “incident de sécurité” qui l’a incitée à conseiller aux clients de faire tourner “tous les secrets” qu’ils stockent sur le service. L’alerte a également informé les clients qu’elle avait invalidé leurs jetons d’API de projet, un événement les obligeant à se soucier de les remplacer.
CircleCI affirme qu’il est utilisé par plus d’un million de développeurs pour soutenir 30 000 organisations et exécute près d’un million de tâches quotidiennes. L’exposition potentielle de tous ces secrets – qui pourraient être des identifiants de connexion, des jetons d’accès et qui sait quoi d’autre – pourrait s’avérer désastreuse pour la sécurité de l’ensemble d’Internet.
Un manque de transparence
CircleCI est toujours discret sur ce qui s’est passé précisément. Son avis n’a jamais utilisé les mots « violation », « compromis » ou « intrusion », mais c’est presque certainement ce qui s’est passé. La pièce A est la déclaration suivante : “À ce stade, nous sommes convaincus qu’il n’y a pas d’acteurs non autorisés actifs dans nos systèmes”, ce qui suggère que les intrus du réseau étaient actifs plus tôt. Pièce B : le conseil aux clients de vérifier les journaux internes pour détecter tout accès non autorisé entre le 21 décembre et le 4 janvier.
En prenant les déclarations ensemble, il n’est pas exagéré de soupçonner que des acteurs de la menace ont été actifs dans les systèmes de CircleCI pendant deux semaines. C’est beaucoup de temps pour collecter une quantité inimaginable de certaines des données les plus sensibles de l’industrie.
Publicité
L’avis de Slack, quant à lui, est tout aussi opaque. Il est daté du 31 décembre, mais les archives Internet ne l’ont vu que jeudi, cinq jours plus tard. Il est clair que Slack n’était pas pressé que l’événement soit largement connu.
Comme la divulgation de CircleCI, l’alerte Slack évite également le langage concret et utilise à la place l’expression passive “ont été volées et utilisées à mauvais escient” sans dire comment. Ajoutant au manque de franchise : la société a intégré la balise HTML dans le message pour tenter d’empêcher les moteurs de recherche d’indexer l’alerte.
Après avoir obtenu les jetons des employés de Slack, l’auteur de la menace les a utilisés à mauvais escient pour accéder au compte GitHub externe de l’entreprise. À partir de là, les intrus ont téléchargé des référentiels de code privés. L’avis souligne que ses clients n’ont pas été affectés et que “l’auteur de la menace n’a pas accédé à d’autres zones de l’environnement de Slack, y compris l’environnement de production, et n’a pas accédé à d’autres ressources Slack ou données client”.
Les clients devraient prendre la déclaration avec une généreuse portion de saumure. Vous vous souvenez de l’avis LastPass d’août ? Il a également utilisé l’expression opaque “incident de sécurité” et déclaré “aucune donnée client n’a été consultée”, uniquement pour révéler l’étendue réelle le dernier grand jour ouvrable de 2022. Il ne serait pas surprenant que Slack ou CircleCI mette à jour ses avis. divulguer un accès ultérieur aux données des clients ou à des parties plus sensibles de leurs réseaux.
Piratage de la chaîne d’approvisionnement
Il est également possible que certaines ou toutes ces violations soient liées. Internet s’appuie sur un vaste écosystème de réseaux de diffusion de contenu, de services d’authentification, de fabricants d’outils de développement de logiciels et d’autres sociétés. Les auteurs de menaces piratent fréquemment une entreprise et utilisent les données ou l’accès qu’ils obtiennent pour violer les clients ou partenaires de cette entreprise.
Ce fut le cas avec la violation en août du fournisseur de sécurité Twilio. Le même acteur menaçant a ciblé 136 autres entreprises.
Quelque chose de similaire s’est produit dans les derniers jours de 2020 lorsque des pirates ont compromis Solar Winds, pris le contrôle de son système de construction de logiciels et l’ont utilisé pour infecter environ 40 clients de Solar Winds.
Pour l’instant, les gens devraient se préparer à des divulgations supplémentaires de la part des entreprises sur lesquelles ils comptent. La vérification des journaux système internes pour les entrées suspectes, l’activation de l’authentification multifacteur et la correction des systèmes réseau sont toujours de bonnes idées, mais compte tenu des événements actuels, ces précautions doivent être accélérées. Il vaut également la peine de vérifier les journaux pour tout contact avec l’adresse IP 54.145.167.181, qui, selon un professionnel de la sécurité, était liée à la violation de CircleCI.
Les gens doivent également se rappeler que malgré les assurances de transparence des entreprises, leurs divulgations concises et soigneusement formulées sont conçues pour dissimuler plus qu’elles ne révèlent.
