Selon un rapport de Reuters publié samedi, des enquêteurs fédéraux américains enquêtent sur les vulnérabilités de sécurité de Codecov. C’est une plate-forme de test de code logiciel qui compte plus de 29 000 clients dans le monde. La société a confirmé cette violation. Elle a déclaré qu’on ne l’a pas détecté depuis plusieurs mois.
CodeCov a refusé de clarifier la situation :
Selon Reuters, la violation a touché un grand nombre de clients de l’entreprise. Cela a donc bloqué Atlassian, GoDaddy, Proctor & Gamble, et le Washington Post. Concernant l’incident publié par le PDG Jerrod Engelberg, CodCov n’a pas clarifié le nombre de clients concernés. Gizmodo a contacté Codecov pour confirmer si on avait mené une enquête fédérale sur l’incident. La société a déclaré qu’elle n’avait aucun commentaire autre que la déclaration d’Engelberg sur son site Web.
Engelberg a déclaré que l’acteur de la menace avait obtenu un accès non autorisé au script Bash Uploader. Il l’avait modifié aussi.
À quoi sert le Bash Uploader ?
Il permet d’accéder de manière sélective aux identifiants, jetons ou clés stockés dans l’environnement d’intégration continue du client. Ainsi qu’accéder à tous les services, au stockage de données et au code d’applications accessibles.
Le Bash Uploder de la société fait également partie de trois télés verseurs associés : Codecov Bitrise Step ; Codecov-Actions-Uploader pour Github ; et Codecov CircleCl Orb. Ce qui a conduit à leur affectation.
CodeCov a enfin fourni plus d’explication concernant le sujet :
« En raison d’une erreur dans le processus d’image Docker de Codecov, l’acteur a obtenu l’accès. Cette erreur lui a donc permis d’extraire les informations d’identification nécessaires pour modifier notre script Bash Uploader », a déclaré Engelberg. « Après avoir pris conscience du problème, Codecov a immédiatement enregistré et corrigé les scripts concernés. De plus, il a commencé à étudier l’impact possible sur les utilisateurs. »
La société a ajouté qu’elle avait embauché une société de criminalistique tierce pour analyser l’impact sur ses utilisateurs. Elle a également déclaré qu’elle avait signalé l’incident aux forces de l’ordre et qu’elle coopérait avec eux.
Après avoir enfin enquêté sur l’incident, la société a constaté que les acteurs menaçants apportaient des modifications régulières. Comme elle a annoncé que la version du script Bash Uploader fera d’ailleurs ses débuts ce 31 janvier.
Codcov a annoncé qu’il a envoyé un message aux utilisateurs concernés par e-mail le 15 avril. Il avait aussi activé une bannière de notification pour les utilisateurs concernés après leur inscription à Codecov. La société a déclaré que les clients utilisant la version autohébergée de Codecov pourraient ne pas être affectés.
Engelberg a déclaré: « Nous recommandons ainsi aux utilisateurs concernés de réactiver immédiatement tous les identifiants, jetons ou clés dans les variables d’environnement du processus CI. Et ce, en utilisant l’un des Bash Uploader de Codecov. »
Reuters a souligné que l’incident ressemble à grande échelle à celui de SolarWinds. Le gouvernement américain l’a attribué au service de renseignement extérieur russe. Et ce, en raison de l’impact possible sur différentes organisations et de la durée où on n’avait pas détectée l’attaque.
Les mesures de sécurité prises par Codecov :
Codecov a déclaré qu’ils avaient pris en compte de nombreuses mesures pour assurer la sécurité. Notamment la rotation de toutes les informations d’identification internes pertinentes ; le déploiement d’outils de surveillance et d’audit pour garantir cela. Les acteurs de la menace ne pourront plus modifier le Bash Uploader. Ils travailleront donc avec des fournisseurs d’hébergement de serveurs tiers pour s’assurer qu’il est correctement mis hors service.
« Codecov applique diverses politiques, processus, pratiques et contrôles liés à la sécurité des informations. Nous surveillons notre réseau et nos systèmes pour détecter d’éventuelles activités anormales. Cependant, Codecov, comme toute autre entreprise, n’est pas à l’abri de tels incidents. Nous nous excusons pour tout inconvénient causé. «