Nouveau feuilleton à venir dans le monde de la cybersécurité : l’affaire Codecov. Le 15 avril, cette entreprise inconnue du grand public a fait part publiquement d’une cyberattaque découverte deux semaines plus tôt. Des hackers sont parvenus à s’introduire sur son système et à modifier, à plusieurs reprises, un de ses scripts, nommé Bash Uploader, qu’elle utilise dans plusieurs de ses outils. Le malware inséré dans le code permettait aux malfrats de détecter et d’intercepter toutes sortes d’informations confidentielles comme des identifiants, des jetons d’authentification ou des clés de chiffrement. La version vérolée du script a ensuite été distribuée à un nombre pour l’instant inconnu de clients, parmi les 29 000 que l’entreprise compte, soit autant de victimes potentielles. D’après Reuters, il y aurait déjà des centaines de victimes déclarées, et ce bilan ne peut que s’agrandir dans les semaines à venir.
Dans le jargon, on parle d’une « supply chain attack » : les hackers s’infiltrent dans la chaîne de production d’un logiciel pour y insérer leur code malveillant. Puisque le malware sort directement des serveurs de l’éditeur, il profitera de la confiance accordée par les clients pour passer outre bon nombre de services de détection. La victime initiale va en quelques sortes avoir un rôle de « super-spreader » à des centaines, voire des milliers d’autres victimes.
Codecov, porte d’entrée pour des centaines d’entreprises technologiques
Justement, Codecov a le profil parfait de victime initiale. À l’instar de SolarWinds, victime l’an dernier d’une supply chain attack déjà célèbre, il compte parmi ses clients de nombreuses entreprises technologiques, dont IBM, Hewlett Packard, l’hébergeur Go Daddy, mais aussi des entreprises plus petites ou encore des éditeurs de logiciels open source. Grossièrement, les outils de Codecov permettent aux développeurs de tester leur code à la recherche d’erreurs et de vulnérabilité, et d’en tirer toutes sortes de statistiques. Pour réaliser ces tâches, les outils ont le plus souvent accès aux identifiants des comptes des logiciels utilisés par l’entreprise. Autrement dit, obtenir l’accès aux outils de Codecov permet en cascade d’obtenir les accès à d’autres logiciels, et de s’infiltrer plus profondément sur le système des victimes.
Averti par un de ses clients, Codecov a commencé son enquête interne et estime que la supply chain attaque a débuté le 31 janvier, et aurait donc duré pendant plus de deux mois et demi avant d’être corrigée. Au moins 4 de ses outils sont concernés par l’attaque, et elle conseille désormais à ses clients de changer tous les identifiants qui seraient passés sur un d’entre eux durant la période de l’attaque. D’après Reuters, l’antenne californienne du FBI s’est aussi saisie de l’affaire, tandis que les entreprises de sécurité privées sont appelées au chevet de dizaines de victimes.
Cette nouvelle affaire se déclenche alors que les derniers détails de l’affaire SolarWinds sont enfin éclaircis, avec l’attribution officielle de l’attaque au renseignement russe, comme soupçonné dès les premières enquêtes. Dans le cas Codecov, l’identité des hackers est pour l’instant inconnue. Mais comme dans l’affaire SolarWinds, les détails de la cyberattaque devraient être révélés par vague dans les mois à venir.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !