Les pirates informatiques de Codecov ont enfreint des centaines de sites clients restreints: sources | Actualités technologiques
Par Joseph Menn et Raphael Satter
SAN FRANCISCO (Reuters) – Des pirates informatiques qui ont falsifié un outil de développement logiciel d’une société appelée Codecov ont utilisé ce programme pour obtenir un accès restreint à des centaines de réseaux appartenant aux clients de la société de San Francisco, ont déclaré les enquêteurs à Reuters.
Codecov crée des outils d’audit logiciel qui permettent aux développeurs de voir à quel point leur propre code est testé, un processus qui peut donner à l’outil l’accès aux informations d’identification stockées pour divers comptes logiciels internes.
Les attaquants ont utilisé l’automatisation pour copier rapidement ces informations d’identification et attaquer des ressources supplémentaires, ont déclaré les enquêteurs, étendant la violation au-delà de la divulgation initiale par Codecov jeudi.
Les pirates informatiques ont déployé des efforts supplémentaires pour utiliser Codecov pour pénétrer d’autres fabricants de programmes de développement de logiciels, ainsi que des entreprises qui fournissent elles-mêmes à de nombreux clients des services technologiques, y compris IBM, a déclaré l’un des enquêteurs sous couvert d’anonymat.
La personne a déclaré que les deux méthodes permettraient aux pirates d’obtenir potentiellement des informations d’identification pour des milliers d’autres systèmes restreints.
IBM et d’autres sociétés ont déclaré que leur code n’avait pas été modifié, mais n’ont pas précisé si les informations d’identification d’accès à leurs systèmes avaient été prises.
« Nous enquêtons sur l’incident Codecov signalé et n’avons jusqu’à présent trouvé aucune modification de code impliquant des clients ou IBM », a déclaré une porte-parole d’IBM.
Le bureau du FBI à San Francisco enquête sur les compromis et des dizaines de victimes probables ont été informées lundi. Les entreprises de sécurité privées commençaient déjà à répondre pour aider plusieurs clients, ont déclaré des employés.
Codecov n’a pas répondu à la demande de commentaires de Reuters lundi.
Les experts en sécurité impliqués dans l’affaire ont déclaré l’ampleur de l’attaque et les compétences nécessaires par rapport à l’attaque SolarWinds de l’année dernière. Le compromis du programme de gestion de réseau largement utilisé de cette société a conduit des pirates informatiques à l’intérieur de neuf agences gouvernementales américaines et d’une centaine d’entreprises privées.
On ne sait pas qui est à l’origine de la dernière violation ou s’ils travaillent pour un gouvernement national, comme ce fut le cas avec SolarWinds.
D’autres parmi les 19 000 clients de Codecov, y compris le grand fournisseur de services technologiques Hewlett Packard Enterprise, ont déclaré qu’ils essayaient toujours de déterminer si eux-mêmes ou leurs clients avaient été blessés.
«HPE dispose d’une équipe dédiée de professionnels qui enquêtent sur cette question, et les clients doivent être assurés que nous les tiendrons informés de tout impact et des remèdes nécessaires dès que nous en saurons plus», a déclaré le porte-parole de HPE Adam Bauer.
Même les utilisateurs de Codecov qui n’avaient vu aucune preuve de piratage prenaient la brèche au sérieux, a déclaré à Reuters un responsable de la cybersécurité d’entreprise. Il a déclaré que son entreprise était en train de réinitialiser ses informations d’identification et que ses homologues d’ailleurs faisaient de même, comme le recommandait Codecov.
Codecov a déclaré plus tôt que les pirates avaient commencé à falsifier son logiciel le 31 janvier. Cela n’a été détecté que plus tôt ce mois-ci lorsqu’un client a exprimé des inquiétudes.
Le site Web de Codecov indique que ses clients comprennent le conglomérat de biens de consommation Procter & Gamble Co, la société d’hébergement Web GoDaddy Inc, le Washington Post et la société de logiciels australienne Atlassian Corporation PLC. Atlassian a déclaré qu’il n’avait encore vu aucun impact ni aucun signe de compromis.
La branche cybersécurité du Department of Homeland Security et le FBI ont refusé de commenter.
(Reportage de Joseph Menn, Raphael Satter et Christopher Bing; Montage par Sam Holmes)
Droits d’auteur 2021 Thomson Reuters.