Attaques en série contre Checkmarx et Bitwarden : les failles d'une chaîne d'approvisionnement vulnérable

Les six dernières semaines ont été particulièrement difficiles pour Checkmarx, une entreprise spécialisée en cybersécurité. En l'espace de 40 jours, elle a subi au moins une attaque en chaîne ayant livré des malwares à ses clients à deux reprises distinctes. Récemment, elle a également été victime d'une attaque par ransomware menée par des pirates cherchant à se faire connaître.

Cette série de malheurs a commencé le 19 mars avec l'attaque en chaîne de Trivy, un scanner de vulnérabilités largement utilisé. Les attaquants ont d'abord compromis le compte GitHub de Trivy, puis ont utilisé cet accès pour diffuser un malware aux utilisateurs de Trivy, dont Checkmarx. Ce malware recherchait activement des jetons de dépôt, des clés SSH et d'autres identifiants sur les machines infectées.

Quatre jours plus tard, le compte GitHub de Checkmarx a été compromis à son tour. Les pirates ont alors commencé à diffuser un malware aux utilisateurs de l'entreprise. Checkmarx a affirmé avoir contenu et remédié à la faille, remplaçant le malware par les applications légitimes. Pourtant, cette solution s'est révélée insuffisante.

Bitwarden également touché par une faille similaire

Peu après, Bitwarden, un gestionnaire de mots de passe open source, a révélé avoir été victime d'une attaque en chaîne exploitant une faille dans son système de construction. Les attaquants ont compromis le processus de construction de Bitwarden, permettant l'injection de code malveillant dans les versions distribuées du logiciel. Cette attaque a touché des milliers d'utilisateurs avant d'être détectée et neutralisée.

Les conséquences et les leçons à tirer

Ces attaques mettent en lumière les risques liés aux chaînes d'approvisionnement logicielles, où une faille dans un composant peut compromettre l'ensemble de l'écosystème. Les entreprises de cybersécurité, paradoxalement, ne sont pas à l'abri de telles vulnérabilités. Les experts soulignent l'importance de renforcer la sécurité des comptes GitHub et des processus de construction logicielle, ainsi que la nécessité de surveiller en temps réel les activités suspectes.

Les attaques contre Checkmarx et Bitwarden rappellent également que les pirates exploitent souvent des failles connues pour maximiser leur impact. Les entreprises doivent donc adopter une approche proactive en matière de cybersécurité, incluant des audits réguliers et des mises à jour rapides des systèmes.

« Ces incidents montrent que même les entreprises les plus avancées en cybersécurité peuvent être vulnérables. La sécurité d'une chaîne d'approvisionnement dépend de la faiblesse de son maillon le plus fragile. »
— Expert en cybersécurité, non nommé

Que faire pour se protéger ?

• Renforcer la sécurité des comptes GitHub : Utiliser l'authentification multifactorielle (MFA) et surveiller les activités suspectes.
• Sécuriser les processus de construction : Vérifier l'intégrité des dépendances et des outils de construction.
• Surveiller les activités en temps réel : Détecter rapidement les comportements anormaux pour limiter l'impact des attaques.
• Former les équipes : Sensibiliser les développeurs et les employés aux bonnes pratiques de cybersécurité.