Nouveau feuilleton à venir dans le monde de la cybersécurité : l’affaire Codecov. Le 15 avril, cette entreprise inconnue du grand public a fait part publiquement d’une cyberattaque découverte deux semaines plus tôt. Des hackers sont parvenus à s’introduire sur son système et à modifier, à plusieurs reprises, un de ses scripts, nommé Bash Uploader, qu’elle utilise dans plusieurs de ses outils. Le malware inséré dans le code permettait aux malfrats de détecter et d’intercepter toutes sortes d’informations confidentielles comme des identifiants, des jetons d’authentification ou des clés de chiffrement. La version vérolée du script a ensuite été distribuée à un nombre pour l’instant inconnu de clients, parmi les 29 000 que l’entreprise compte, soit autant de victimes potentielles. D’après Reuters, il y aurait déjà des centaines de victimes déclarées, et ce bilan ne peut que s’agrandir dans les semaines à venir.
Quelques mois seulement après l’affaire SolarWinds, une attaque similaire vient d’être découverte. // Source : CCO/Wikimedia
Dans le jargon, on parle d’une « supply chain attack » : les hackers s’infiltrent dans la chaîne de production d’un logiciel pour y insérer leur code malveillant. Puisque le malware sort directement des serveurs de l’éditeur, il profitera de la confiance accordée par les clients pour passer outre bon nombre de services de détection. La victime initiale va en quelques sortes avoir un rôle de « super-spreader » à des centaines, voire des milliers d’autres victimes.
Codecov, porte d’entrée pour des centaines d’entreprises technologiques
Justement, Codecov a le profil parfait de victime initiale. À l’instar de SolarWinds, victime l’an dernier d’une supply chain attack déjà célèbre, il compte parmi ses clients de nombreuses entreprises technologiques, dont IBM, Hewlett Packard, l’hébergeur Go Daddy, mais aussi des entreprises plus petites ou encore des éditeurs de logiciels open source. Grossièrement, les outils de Codecov permettent aux développeurs de tester leur code à la recherche d’erreurs et de vulnérabilité, et d’en tirer toutes sortes de statistiques. Pour réaliser ces tâches, les outils ont le plus souvent accès aux identifiants des comptes des logiciels utilisés par l’entreprise. Autrement dit, obtenir l’accès aux outils de Codecov permet en cascade d’obtenir les accès à d’autres logiciels, et de s’infiltrer plus profondément sur le système des victimes.
Averti par un de ses clients, Codecov a commencé son enquête interne et estime que la supply chain attaque a débuté le 31 janvier, et aurait donc duré pendant plus de deux mois et demi avant d’être corrigée. Au moins 4 de ses outils sont concernés par l’attaque, et elle conseille désormais à ses clients de changer tous les identifiants qui seraient passés sur un d’entre eux durant la période de l’attaque. D’après Reuters, l’antenne californienne du FBI s’est aussi saisie de l’affaire, tandis que les entreprises de sécurité privées sont appelées au chevet de dizaines de victimes.
Cette nouvelle affaire se déclenche alors que les derniers détails de l’affaire SolarWinds sont enfin éclaircis, avec l’attribution officielle de l’attaque au renseignement russe, comme soupçonné dès les premières enquêtes. Dans le cas Codecov, l’identité des hackers est pour l’instant inconnue. Mais comme dans l’affaire SolarWinds, les détails de la cyberattaque devraient être révélés par vague dans les mois à venir.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
