scroll

Red Hat victime d'une faille de sécurité : intrusion via son instance GitLab

Sommaire

Introduction

En mai 2024, Red Hat, société mondialement reconnue pour ses solutions logicielles open source, a révélé avoir subi un incident de sécurité affectant son environnement de développement. Les systèmes touchés comprenaient une instance GitLab interne qui a été compromise par un acteur malveillant. L’entreprise affirme qu’aucun code produit expédié aux clients n’a été modifié ni impacté, mais que certaines données internes liées à la gestion des builds et des tests ont pu être consultées.

Détails de la compromission

Selon l’article publié par Bleeping Computer, les cybercriminels ont réussi à accéder à une instance GitLab auto-hébergée utilisée pour les tâches de développement de logiciels. Cet accès a été repéré au début du mois de mai, déclenchant immédiatement une enquête interne de sécurité. L’intrusion n’a pas affecté l’infrastructure de production principale, mais a exposé des scripts utilisés pour les builds ainsi que des logs potentiellement sensibles.

Red Hat a précisé que cette instance ne faisait pas partie de la plateforme utilisée pour créer les packages livrés officiellement à ses clients, notamment ceux liés à Red Hat Enterprise Linux. Autrement dit, le cœur des services commercialisés par Red Hat n’a pas été compromis.

Mesures prises par Red Hat

Suite à la découverte de l’incident, Red Hat a immédiatement coupé l’accès à l’instance GitLab compromise, désactivé les comptes potentiellement exposés et lancé une enquête approfondie. Une équipe du groupe de sécurité de Red Hat a collaboré étroitement avec les équipes internes pour évaluer l’étendue de la compromission et déterminer si des actions supplémentaires étaient nécessaires.

Red Hat a également renforcé la surveillance de ses autres systèmes afin de détecter toute tentative de compromission future ou d’activité inhabituelle. Aucun élément ne permet, à ce jour, de penser que les infrastructures client ou d'autres logiciels ont été modifiés.

Données affectées

Les données auxquelles les attaquants auraient pu accéder comprennent des scripts d’automatisation et des fichiers de configuration liés à des pipelines CI/CD utilisés dans les processus de développement de Red Hat. Bien qu’aucune information client ou code de production n’ait été modifié, l’utilisation abusive de ces scripts pouvait potentiellement faciliter d’autres attaques, notamment si les attaquants parvenaient à en déduire des failles ou des configurations internes.

Red Hat a confirmé que les registres de commits, les journaux d’accès et les métadonnées des projets ont également été passés en revue pour vérifier l’absence d’activité suspecte.

Conséquences et implications

Ce type d’incident rappelle les risques importants associés aux chaînes de développement logiciel modernes. De nombreuses entreprises, à l’instar de Red Hat, utilisent des outils comme GitLab pour la gestion de leur code source, leurs procédures d’intégration continue et la livraison continue (CI/CD). Lorsqu’un tel outil est compromis, c’est toute la logique de fabrication d’un produit logiciel qui peut se retrouver exposée.

Heureusement, dans le cas de Red Hat, les protocoles de séparation des environnements et de gouvernance ont permis de contenir l’incident. Cela démontre l’importance d’une architecture modulaire et bien sécurisée, ainsi qu’une réponse rapide en cas de fuite.

Bonnes pratiques pour sécuriser GitLab

Pour prévenir ce type d’attaque, voici quelques bonnes pratiques recommandées :

  • Maintenir GitLab et ses dépendances à jour avec les derniers correctifs de sécurité.
  • Implémenter l’authentification multifactorielle pour tous les utilisateurs.
  • Restreindre les accès selon la méthode du moindre privilège.
  • Surveiller en permanence les activités suspectes dans les logs GitLab.
  • Segmenter les environnements de développement, test et production.

Plus généralement, il est essentiel de mettre en place une politique de réponse aux incidents robuste, capable d’identifier rapidement toute anomalie et de la contenir efficacement.

Conclusion

Le cas de Red Hat illustre les menaces réelles qui pèsent sur les environnements de développement, même dans des entreprises à la pointe de la sécurité informatique. Ce type d'attaque doit inciter toutes les organisations à renforcer leurs pratiques de sécurité dans les outils DevOps et à auditer régulièrement les accès, les scripts et processus automatisés. Grâce à une réponse rapide, Red Hat a su limiter les dégâts, mais cet incident demeure un signal d'alerte pour toute la communauté tech.

Thématique : Cybersécurité

Sujet principal : Incident de cybersécurité chez Red Hat : une brèche détectée sur GitLab

Source : https://www.bleepingcomputer.com/news/security/red-hat-confirms-security-incident-after-hackers-breach-gitlab-instance/