Une enquête de sécurité a révélé que la plateforme de développement cloud Vercel a été touchée par une cyberattaque. Plutôt qu’une violation directe de l’infrastructure principale de Vercel, l’incident provient d’un outil d’IA tiers intégré via Google Workspace.
La cause première : la vulnérabilité OAuth
La violation a été facilitée par une application Google Workspace OAuth compromise appartenant à un fournisseur de services d’IA externe. Dans les environnements cloud modernes, OAuth est une méthode standard qui permet à différentes applications de communiquer et de partager des données sans échanger de mots de passe. Cependant, si une application tierce est compromise, elle peut servir de « porte dérobée », permettant aux attaquants d’accéder à toute organisation ayant autorisé cette application.
Cet incident met en évidence une tendance croissante en matière de cybersécurité : les attaques de la chaîne d’approvisionnement. Au lieu d’attaquer directement une cible bien défendue comme Vercel, les pirates ont ciblé un maillon plus faible de l’écosystème – une intégration tierce – pour prendre pied dans des environnements à forte valeur ajoutée.
Portée et impact potentiel
L’enquête suggère que le compromis ne concerne pas uniquement Vercel. Étant donné que l’activité malveillante provenait de l’application OAuth de l’outil d’IA, des centaines d’utilisateurs dans diverses organisations pourraient avoir été affectés.
Le principal risque concerne l’accès non autorisé aux données et aux environnements gérés via Google Workspace, pouvant conduire à de nouveaux mouvements latéraux au sein des réseaux d’entreprise connectés.
Action immédiate pour les administrateurs
Pour atténuer davantage de risques, les professionnels de la sécurité et les administrateurs informatiques sont invités à prendre les mesures suivantes :
- Auditer Google Workspace : Les administrateurs doivent immédiatement examiner toutes les applications OAuth autorisées au sein de leur organisation.
- Identifiez l’application malveillante : Recherchez les outils d’IA tiers susceptibles d’avoir obtenu des autorisations étendues.
- Surveiller les indicateurs de compromission (IOC) : Les équipes de sécurité doivent utiliser les IOC fournis pour vérifier leurs environnements à la recherche de signes d’activité malveillante.
Alerte de sécurité : Il est fortement conseillé aux administrateurs Google Workspace et aux propriétaires de comptes Google de vérifier immédiatement l’utilisation de cette application tierce spécifique afin d’empêcher tout accès non autorisé.
Conclusion
L’incident Vercel constitue un rappel critique des risques inhérents aux intégrations tierces. Alors que les organisations s’appuient de plus en plus sur des outils basés sur l’IA, la sécurité de l’ensemble de l’écosystème dépend du maillon le plus faible de la chaîne d’approvisionnement logicielle.
