La société de logiciels CircleCI a confirmé que les données de ses clients ont été volées lors d’une attaque de pirates fin décembre. Les attaquants ont utilisé l’ordinateur portable d’un employé comme passerelle.
L’attaque de l’entreprise de logiciels CircleCI a eu lieu à la fin de l’année dernière. Du 16 décembre au 4 janvier, les pirates ont accédé à des documents et à des données clients de l’entreprise très populaire auprès des développeurs et des programmeurs. Dans un billet de blog, CircleCI a donné plus d’explications sur l’incident et l’impact sur les utilisateurs. La société a notamment confirmé que les pirates ont réussi à mettre la main sur des données client chiffrées ainsi que sur les clés permettant de déverrouiller ces fichiers.
Accès via un ordinateur portable
CircleCI a expliqué dans son billet de blog que les pirates ont utilisé l’ordinateur portable d’un employé comme passerelle initiale. Immédiatement après, les pirates ont installé un logiciel de malware afin de mettre la main sur des jetons pour garder l’employé connecté, même après que cet accès ait été sécurisé par une authentification à deux facteurs. CircleCI a reconnu la culpabilité de la violation, en la qualifiant de défaillance du système. Parallèlement, elle a ajouté que les logiciels antivirus n’ont pas non plus reconnu le malware.
« L’employé en question avait le privilège de générer des jetons d’accès à la production dans le cadre de sa description de poste. Cela permettait au tiers non autorisé d’accéder aux données d’un sous-ensemble de bases de données et de magasins, y compris les variables d’environnement, les jetons et les clés clients », écrit Rob Zuber, directeur technique de CircleCI. Comme les pirates ont mis la main sur les clés en plus des données chiffrées, ils peuvent accéder à toutes les données.
Clientèle déjà informée
Zuber conseille à ses clients, s’ils ne l’ont pas déjà fait, de prendre les mesures nécessaires pour empêcher tout accès non autorisé par des pirates. Pour certains clients, ce conseil arrive bien tard puisque plusieurs d’entre eux ont déjà signalé que leurs systèmes étaient victimes d’intrusions. Il y a quelques jours, CircleCI a déjà averti ses clients de migrer leurs données en craignant que des pirates exploitent les codes, selon TechCrunch.
Le directeur technique a ajouté dans le blog que les employés qui ont toujours accès aux systèmes de production doivent maintenant passer par des étapes supplémentaires d’authentification à plusieurs niveaux. Ces mesures de sécurité devraient empêcher une nouvelle attaque. La méthode de pénétration, via l’ordinateur portable d’un employé, nous rappelle le piratage du gestionnaire de mots de passe LastPass. CircleCI lui-même avait été utilisé par des pirates pour s’introduire dans Dropbox en novembre.