L’équipe de recherche en sécurité de JFrog a récemment mis en lumière une série de vulnérabilités critiques affectant les processus d’intégration et de déploiement continus (CI/CD) de projets open source majeurs.
Le cybersécurité des chaînes logicielles fait face à une nouvelle alerte majeure. L’équipe de JFrog a identifié treize failles critiques dans des dépôts GitHub utilisés par des millions d’organisations, exposant des projets sensibles comme Ansible ou WeChat Pay. Ces vulnérabilités reposent sur une technique baptisée « Pwn Requests », où des modifications de code malveillantes soumises via des pull requests peuvent dérober des secrets cloud ou contaminer des pipelines CI/CD entiers.
Pour les détecter, JFrog a mobilisé RepoHunter, un agent d’intelligence artificielle capable d’analyser des volumes massifs de code en un temps record. Cette découverte illustre la course permanente entre cybercriminels et défenseurs, et souligne l’importance d’une coopération étroite avec les mainteneurs pour corriger rapidement les brèches.
Une menace sur les fondations numériques
Des outils essentiels comme Ansible ou les systèmes de gestion de salaire brut net comme WeChat Pay présentaient des failles majeures.
Si ces brèches avaient été exploitées, elles auraient pu contaminer l’ensemble de l’écosystème numérique, mettant en péril des services financiers et gouvernementaux sensibles, en plus d’altérer la sécurité de projets comme TC39 ou QGIS.
Le mécanisme des attaques
Les pirates utilisaient une technique appelée « Pwn Request ». Ils soumettent une modification de code malveillante qui, une fois traitée automatiquement par les systèmes de test, leur permettait de dérober des données confidentielles comme des accès aux serveurs ou des secrets cloud.
L’intelligence artificielle au cœur de la défense
RepoHunter marque un tournant dans la cybersécurité, tout comme la transparence sur le salaire brut et net devient un standard indispensable pour attirer les meilleurs experts du secteur.
En automatisant la recherche d’erreurs de configuration sur GitHub, cet outil permet aux défenseurs de devancer les cybercriminels qui utilisent déjà des technologies comparables pour attaquer de grandes entreprises.
Cette avancée force les responsables informatiques à revoir la sécurité de leurs processus internes, poussant des acteurs comme JFrog à intégrer ces capacités de détection dans leurs propres solutions.
Une collaboration nécessaire pour corriger les failles
La gestion des vulnérabilités repose désormais sur une coopération étroite avec les responsables de projets, suivant les principes de la divulgation responsable.
Cette collaboration est indispensable pour trier les alertes pertinentes parmi le volume important de rapports générés par l’IA. Ce travail de filtrage garantit une correction efficace et rapide des failles avant toute divulgation publique, assurant ainsi une meilleure protection globale.
