15/11/2024

Actu Cybersécurité

Le piratage de CircleCI est lié au vol d’un cookie de session par un malware !

Fin décembre 2022, CircleCI a subi une cyberattaque lors de laquelle les cybercriminels ont pu accès accéder aux systèmes internes de l'entreprise. Désormais, nous connaissons l'origine de cette attaque !

Pour rappel, CircleCI est une plateforme d'intégration continue et de livraison continue très appréciée puisqu'elle compte plus d'un million d'utilisateurs dans le monde.

Début janvier, CircleCI a mis en ligne un communiqué sur son site Internet afin d'évoquer cette cyberattaque. Communiqué au sein duquel Rob Zuber, le CTO de CircleCI, invitait les utilisateurs à régénérer les secrets stockés sur la plateforme CircleCI, par précaution : "Faites tourner immédiatement tous les secrets stockés dans CircleCI."

Il y a quelques jours, ce communiqué a été mis à jour, ce qui permet d'en apprendre plus sur l'origine de cette attaque : l'ordinateur d'un ingénieur a été infecté par un malware qui a volé des informations au sein de cookies de session, lui permettant de s'authentifier sur les systèmes internes de CircleCI malgré la présence du MFA. Puisque le cookie de session est obtenu après avoir indiqué le mot de passe et validé le second facteur d'authentification, il permet d'accéder directement aux systèmes sans réauthentification. Non détecté par l'antivirus de l'entreprise, ce malware a infecté l'ordinateur de l'employé le 16 décembre 2022.

En utilisant les privilèges de cet utilisateur, les pirates ont pu commencer à voler des données à partir du 22 décembre, notamment au sein de certaines bases de données et de stores de CircleCI, notamment des jetons et clés de clients. Même si les données sont chiffrées, les cybercriminels sont parvenus à extraire les clés de chiffrement, ce qui peut leur permettre de déchiffrer les données dérobées !

Ces dernières informations ne sont pas rassurantes... Et montre que le MFA, bien qu'il soit pertinent et recommandé, n'est pas infaillible que ce soit au travers du vol de cookies ou en utilisant la technique de fatigue MFA. Si vous utilisez CircleCI, il est impératif de renouveler tous vos secrets et jetons !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.