Encore une entreprise victime d'une supply chain attack. Pendant plus de deux mois, des hackers ont détourné les outils de Codecov pour espionner des centaines d'entreprises. À ce stade de l'enquête, l'ampleur des dégâts est encore inconnu.

Nouveau feuilleton à venir dans le monde de la cybersécurité : l’affaire Codecov. Le 15 avril, cette entreprise inconnue du grand public a fait part publiquement d’une cyberattaque découverte deux semaines plus tôt. Des hackers sont parvenus à s’introduire sur son système et à modifier, à plusieurs reprises, un de ses scripts, nommé Bash Uploader, qu’elle utilise dans plusieurs de ses outils. Le malware inséré dans le code permettait aux malfrats de détecter et d’intercepter toutes sortes d’informations confidentielles comme des identifiants, des jetons d’authentification ou des clés de chiffrement. La version vérolée du script a ensuite été distribuée à un nombre pour l’instant inconnu de clients, parmi les 29 000 que l’entreprise compte, soit autant de victimes potentielles. D’après Reuters, il y aurait déjà des centaines de victimes déclarées, et ce bilan ne peut que s’agrandir dans les semaines à venir.

Quelques mois seulement après l’affaire SolarWinds, une attaque similaire vient d’être découverte. // Source : CCO/Wikimedia

Dans le jargon, on parle d’une « supply chain attack » : les hackers s’infiltrent dans la chaîne de production d’un logiciel pour y insérer leur code malveillant. Puisque le malware sort directement des serveurs de l’éditeur, il profitera de la confiance accordée par les clients pour passer outre bon nombre de services de détection. La victime initiale va en quelques sortes avoir un rôle de « super-spreader » à des centaines, voire des milliers d’autres victimes.

Codecov, porte d’entrée pour des centaines d’entreprises technologiques

Justement, Codecov a le profil parfait de victime initiale. À l’instar de SolarWinds, victime l’an dernier d’une supply chain attack déjà célèbre, il compte parmi ses clients de nombreuses entreprises technologiques, dont IBM, Hewlett Packard, l’hébergeur Go Daddy, mais aussi des entreprises plus petites ou encore des éditeurs de logiciels open source. Grossièrement, les outils de Codecov permettent aux développeurs de tester leur code à la recherche d’erreurs et de vulnérabilité, et d’en tirer toutes sortes de statistiques. Pour réaliser ces tâches, les outils ont le plus souvent accès aux identifiants des comptes des logiciels utilisés par l’entreprise. Autrement dit, obtenir l’accès aux outils de Codecov permet en cascade d’obtenir les accès à d’autres logiciels, et de s’infiltrer plus profondément sur le système des victimes.

Averti par un de ses clients, Codecov a commencé son enquête interne et estime que la supply chain attaque a débuté le 31 janvier, et aurait donc duré pendant plus de deux mois et demi avant d’être corrigée. Au moins 4 de ses outils sont concernés par l’attaque, et elle conseille désormais à ses clients de changer tous les identifiants qui seraient passés sur un d’entre eux durant la période de l’attaque. D’après Reuters, l’antenne californienne du FBI s’est aussi saisie de l’affaire, tandis que les entreprises de sécurité privées sont appelées au chevet de dizaines de victimes.

Cette nouvelle affaire se déclenche alors que les derniers détails de l’affaire SolarWinds sont enfin éclaircis, avec l’attribution officielle de l’attaque au renseignement russe, comme soupçonné dès les premières enquêtes. Dans le cas Codecov, l’identité des hackers est pour l’instant inconnue. Mais comme dans l’affaire SolarWinds, les détails de la cyberattaque devraient être révélés par vague dans les mois à venir.

Crédit photo de la une : Codecov

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux