Incident majeur chez Vercel
Le service d’hébergement d’applications cloud Vercel a annoncé ce week‑end une intrusion dont les hackers ont accédé à des informations sensibles de plusieurs clients. L’attaque, détectée au cours du week‑end, provient d’une compromission d’un tiers, le logiciel Context AI, et s’est traduite par le vol de données d’authentification, de clés d’API et même de morceaux de code source.
Comment les attaquants ont pénétré le système
Selon le communiqué officiel, un employé de Vercel a installé une application développée par Context AI et l’a reliée à son compte professionnel hébergé par Google. Les cybercriminels ont exploité le mécanisme d’autorisation OAuth, usurpant le compte Google de l’employé pour franchir la barrière de sécurité et infiltrer les serveurs internes de Vercel. Une fois à l’intérieur, ils ont extrait des identifiants qui n’étaient pas chiffrés, ouvrant la porte à l’accès à d’autres services et bases de données.
Impacts sur les produits et la clientèle
Vercel rassure que ses projets open‑source les plus populaires – Next.js et Turbopack – n’ont pas été affectés. En revanche, les clés d’API, les secrets de configuration et certains extraits de code source liés aux déploiements de clients ont été compromis. La société a contacté les utilisateurs dont les données ont été exposées et recommande de faire une rotation immédiate de toute information considérée « non sensible » selon leurs critères internes.
Réaction de la direction et mesures prises
Le PDG Guillermo Rauch a publié un message sur X, invitant les développeurs à régénérer leurs jetons d’accès et à vérifier les permissions OAuth de leurs comptes. Vercel affirme poursuivre son enquête, tout en cherchant à obtenir des réponses de Context AI, qui a reconnu un incident similaire en mars, touchant son application Context AI Office Suite.
Une nouvelle chaîne d’approvisionnement dans le cyber‑panorama
Cette violation s’inscrit dans la vague croissante d’attaques dites « supply‑chain », où les hackers ciblent un fournisseur ou un composant tiers pour atteindre de nombreuses victimes d’un coup. En détournant un service largement intégré aux outils de développement, les malfaiteurs peuvent collecter des identifiants valables pour des dizaines, voire des centaines, d’organisations.
Conseils pour les développeurs et les équipes DevOps
Face à ce scénario, il est recommandé de :
• Restreindre les autorisations OAuth aux seules permissions strictement nécessaires.
• Chiffrer systématiquement les secrets stockés, même ceux jugés « peu sensibles ».
• Mettre en place une surveillance continue des jetons d’accès et des logs d’audit.
• Appliquer des politiques de rotation régulière des clés et d’invalidation en cas d’anomalie.
Perspectives et leçons à retenir
Bien que le nombre exact de victimes reste flou, Vercel estime que « des centaines d’utilisateurs de multiples organisations » pourraient être concernés. L’incident rappelle l’importance de sécuriser les points d’interconnexion entre services cloud, ainsi que la nécessité d’une vigilance accrue lorsqu’on intègre des applications tierces dans un environnement professionnel.