Vercel victime d'un piratage : une faille logicielle liée à l'IA expose les données clients
La célèbre plateforme de déploiement Cloud Vercel a été la cible d'une intrusion informatique majeure. Selon les premières conclusions, la faille proviendrait d'un outil d'intelligence artificielle tiers dont l'accès a été détourné pour s'attaquer aux systèmes de l'entreprise.
Une intrusion ciblée via la chaîne d'approvisionnement
Vercel, l'un des piliers du développement web moderne, particulièrement prisé pour l'hébergement d'applications Next.js, vient de confirmer avoir été la victime d'un incident de sécurité. Si l'attaque semble circonscrite à un « sous-ensemble limité » de ses utilisateurs, la méthode employée inquiète : les hackers ne sont pas passés par une porte dérobée de Vercel directement, mais par un maillon faible de son écosystème.
L'origine de l'incident a été tracée jusqu'à un outil d'intelligence artificielle tiers utilisé en interne. Le mode opératoire repose sur une compromission de l'application OAuth de Google Workspace dudit outil, une technique qui permet aux attaquants d'usurper des identités numériques pour accéder à des données sensibles. Selon Vercel, cette brèche pourrait avoir touché des centaines d'autres organisations utilisant cet outil IA.
ShinyHunters à la manœuvre
Le groupe de cybercriminels ShinyHunters, déjà connu pour des attaques retentissantes contre Rockstar Games et d'autres géants de la tech, a revendiqué l'opération. Des échantillons de données ont déjà été publiés en ligne, incluant des noms d'employés, des adresses e-mail et des historiques d'activité. Bien que Vercel tente de rassurer sur l'étendue des dégâts, les pirates affirment détenir des informations bien plus critiques et cherchent activement à les monnayer.
Cette revendication place Vercel dans une position délicate, la plateforme étant le moteur de milliers d'applications web d'entreprises. Une fuite massive de secrets de configuration (variables d'environnement) pourrait entraîner une réaction en chaîne pour ses clients.
Les mesures de précaution recommandées
Face à cette situation, Vercel a publié un bulletin de sécurité exhortant les administrateurs à la vigilance. La recommandation principale est de passer en revue les journaux d'activité pour détecter toute anomalie. Mais le conseil le plus crucial concerne les « variables d'environnement ».
L'entreprise préconise une rotation complète des clés API, des jetons (tokens) et de toutes les données sensibles stockées sur la plateforme. En effet, si un attaquant a pu extraire ces variables, il pourrait potentiellement accéder aux bases de données ou aux services tiers connectés aux applications des clients de Vercel, même si l'accès initial a été comblé.
L'IA, nouveau vecteur de risque cyber
Cet incident illustre une tendance de fond : l'intégration rapide d'outils d'IA dans les flux de travail des entreprises de la tech crée de nouvelles surfaces d'attaque. Ces outils, souvent dotés de permissions étendues sur les suites bureautiques (comme Google Workspace ou Microsoft 365), deviennent des cibles prioritaires. Pour les experts, c'est un rappel brutal que la sécurité d'une plateforme cloud ne dépend pas seulement de son propre code, mais aussi de la robustesse de chaque outil tiers auquel elle accorde sa confiance.
Points clés à retenir
- Vercel confirme une intrusion ciblant un sous-ensemble limité de ses clients.
- Le groupe de hackers ShinyHunters revendique l'attaque et met des données en vente.
- La faille provient d'un outil d'IA tiers via une compromission du protocole OAuth de Google Workspace.
- Vercel recommande la rotation immédiate des clés API et des jetons d'accès.