Devrait-on bannir l’utilisation d’identifiants statiques dans les process d’intégration continue ? La question se pose, parmi beaucoup d’autres, dans les discussions relatives au dossier Codecov.
Cette PME américaine revendique près de 30 000 clients pour ses outils de gestion de la couverture de code. Atlassian, Google et IBM font partie de ses références.
Depuis une semaine, elle est sous le feu des projecteurs. La raison ? Un incident de sécurité dont on a encore du mal à déterminer l’ampleur.
À la racine, un problème dans le processus de création d’images Docker. Des tiers l’ont mis à profit pour obtenir des identifiants qui leur ont permis de modifier un script. En l’occurrence, Bash Uploader. Son rôle : cartographier les environnements de développement et envoyer des rapports de couverture vers Codecov.
Les premiers changements indésirables remontent, nous affirme-t-on, au 31 janvier 2021. Il a fallu attendre le 1er avril pour voir la brèche colmatée, après le signalement d’un client. Celui-ci avait constaté une différence de checksum entre la version de Bash Uploader disponible sur GitHub et celle téléchargée sur son environnement.
Pendant ces deux mois, le script a fait l’objet de plusieurs modifications. Ce qui laisse d’autant plus de doute quant aux conséquences éventuelles. Du côté de Codecov, on en avance essentiellement une : l’exfiltration de secrets. Effectivement, au moins une version du script malveillant était conçue pour envoyer vers un serveur externe toutes les variables d’environnement dans le contexte d’exécution. La liste potentielle est longue : mots de passe de comptes de service, clés de licence, jetons IAM…
« Mécaniquement », l’attaque a touché trois autres outils Codecov basés sur Bash Uploader. Respectivement pour GitHub, CircleCI et Bitrise. Elle a, en revanche, de grandes chances d’avoir épargné les versions sur site de Codecov (le pipeline CI s’appuyant de manière générale sur un script local).
L’une des grandes inconnues a trait aux milliers de projets open source font appel à Bash Uploader. Certains se rattachent à Ethereum, Kubernetes, IPFS ou encore Redis.
Les premiers éléments de l’enquête suggèrent la compromission de centaines de réseaux chez des clients de Codecov. HPE a admis avoir dû examiner la situation. IBM aussi, en ajoutant ne pas avoir constaté de modifications de ses propres bases de code.
Difficile, en l’état, de ne pas établir de parallèle avec l’épisode SolarWinds. Bien des experts en cybersécurité le font d’ailleurs.
Illustration principale © Markus Spiske / CC0 1.0
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
