Pour gérer vos consentements :
Categories: Sécurité

Codecov : pourquoi ce parallèle avec SolarWinds ?

Devrait-on bannir l’utilisation d’identifiants statiques dans les process d’intégration continue ? La question se pose, parmi beaucoup d’autres, dans les discussions relatives au dossier Codecov.

Cette PME américaine revendique près de 30 000 clients pour ses outils de gestion de la couverture de code. Atlassian, Google et IBM font partie de ses références.
Depuis une semaine, elle est sous le feu des projecteurs. La raison ? Un incident de sécurité dont on a encore du mal à déterminer l’ampleur.

À la racine, un problème dans le processus de création d’images Docker. Des tiers l’ont mis à profit pour obtenir des identifiants qui leur ont permis de modifier un script. En l’occurrence, Bash Uploader. Son rôle : cartographier les environnements de développement et envoyer des rapports de couverture vers Codecov.

Les premiers changements indésirables remontent, nous affirme-t-on, au 31 janvier 2021. Il a fallu attendre le 1er avril pour voir la brèche colmatée, après le signalement d’un client. Celui-ci avait constaté une différence de checksum entre la version de Bash Uploader disponible sur GitHub et celle téléchargée sur son environnement.

Pendant ces deux mois, le script a fait l’objet de plusieurs modifications. Ce qui laisse d’autant plus de doute quant aux conséquences éventuelles. Du côté de Codecov, on en avance essentiellement une : l’exfiltration de secrets. Effectivement, au moins une version du script malveillant était conçue pour envoyer vers un serveur externe toutes les variables d’environnement dans le contexte d’exécution. La liste potentielle est longue : mots de passe de comptes de service, clés de licence, jetons IAM…

Codecov : l’open source touché en plein cœur ?

« Mécaniquement », l’attaque a touché trois autres outils Codecov basés sur Bash Uploader. Respectivement pour GitHub, CircleCI et Bitrise. Elle a, en revanche, de grandes chances d’avoir épargné les versions sur site de Codecov (le pipeline CI s’appuyant de manière générale sur un script local).

L’une des grandes inconnues a trait aux milliers de projets open source font appel à Bash Uploader. Certains se rattachent à Ethereum, Kubernetes, IPFS ou encore Redis.

Les premiers éléments de l’enquête suggèrent la compromission de centaines de réseaux chez des clients de Codecov. HPE a admis avoir dû examiner la situation. IBM aussi, en ajoutant ne pas avoir constaté de modifications de ses propres bases de code.
Difficile, en l’état, de ne pas établir de parallèle avec l’épisode SolarWinds. Bien des experts en cybersécurité le font d’ailleurs.

Illustration principale © Markus Spiske / CC0 1.0

Recent Posts

Dell Technologies dévoile ses offres Apex « as-a-service »

Calcul, stockage, mise en réseau... Dell lance les premières offres et solutions d'infrastructure « as-a-service…

7 heures ago

Belnet : une cyberattaque au motif politique ?

Belnet, le FAI des institutions belges, a connu mardi un DDoS d'ampleur. L'attaque a compromis…

7 heures ago

DevSecOps : 5 clés du rapport GitLab 2021

Les délais de déploiement sont plus courts, mais les tests logiciels restent un point de…

10 heures ago

Cloud : la souveraineté, seule variable du marché européen ?

L'enjeu de souveraineté sera au coeur des évolutions du marché européen du cloud, selon une…

11 heures ago

Anthony Cirot, nouveau Directeur général de Google Cloud France

En provenance de VMware, Anthony Cirot prend le poste de Directeur général de Google Cloud…

15 heures ago

PSE IBM France : la direction embraye sur un PDV

Le plan social d'IBM France ne devrait finalement impliquer que des départs volontaires. L'intersyndicale se…

16 heures ago