La supply chain attack contre Codecov a permis aux hackers d'atteindre des centaines d'entreprises
Nouveau feuilleton à venir dans le monde de la cybersécurité : l'affaire Codecov.
Dans le jargon, on parle d'une « supply chain attack » : les hackers s'infiltrent dans la chaîne de production d'un logiciel pour y insérer leur code malveillant. Puisque le malware sort directement des serveurs de l'éditeur, il profitera de la confiance accordée par les clients pour passer outre bon nombre de services de détection. La victime initiale va en quelques sortes avoir un rôle de « super-spreader » à des centaines, voire des milliers d'autres victimes.
Codecov, porte d'entrée pour des centaines d'entreprises technologiques
Justement, Codecov a le profil parfait de victime initiale. À l'instar de SolarWinds, victime l'an dernier d'une supply chain attack déjà célèbre, il compte parmi ses clients de nombreuses entreprises technologiques, dont IBM, Hewlett Packard, l'hébergeur Go Daddy, mais aussi des entreprises plus petites ou encore des éditeurs de logiciels open source. Grossièrement, les outils de Codecov permettent aux développeurs de tester leur code à la recherche d'erreurs et de vulnérabilité, et d'en tirer toutes sortes de statistiques. Pour réaliser ces tâches, les outils ont le plus souvent accès aux identifiants des comptes des logiciels utilisés par l'entreprise. Autrement dit, obtenir l'accès aux outils de Codecov permet en cascade d'obtenir les accès à d'autres logiciels, et de s'infiltrer plus profondément sur le système des victimes.
Averti par un de ses clients, Codecov a commencé son enquête interne et estime que la supply chain attaque a débuté le 31 janvier, et aurait donc duré pendant plus de deux mois et demi avant d'être corrigée. Au moins 4 de ses outils sont concernés par l'attaque, et elle conseille désormais à ses clients de changer tous les identifiants qui seraient passés sur un d'entre eux durant la période de l'attaque. D'après Reuters, l'antenne californienne du FBI s'est aussi saisie de l'affaire, tandis que les entreprises de sécurité privées sont appelées au chevet de dizaines de victimes.
Cette nouvelle affaire se déclenche alors que les derniers détails de l'affaire SolarWinds sont enfin éclaircis, avec l'attribution officielle de l'attaque au renseignement russe, comme soupçonné dès les premières enquêtes. Dans le cas Codecov, l'identité des hackers est pour l'instant inconnue. Mais comme dans l'affaire SolarWinds, les détails de la cyberattaque devraient être révélés par vague dans les mois à venir.