Vercel, plateforme de déploiement web, a signalé un incident de sécurité. La cause était le compromis d'un outil d'IA tiers, Context.ai. Cet accès non autorisé a permis d'entrer dans le compte Google Workspace d'un employé et dans les systèmes internes. Le cas montre un risque croissant : la chaîne d'approvisionnement des logiciels et des services externes comme vecteur d'attaque.
Le maillon faible dans la chaîne des intégrations modernes 🔗
L'incident n'a pas exploité une vulnérabilité directe dans l'infrastructure de Vercel, mais dans un service connecté. Context.ai, intégré vraisemblablement pour l'analyse ou la productivité, a agi comme un pont. Cela souligne un défi technique : la gestion des permissions et des jetons d'accès dans les intégrations avec OAuth ou les API tierces. Un jeton aux privilèges excessifs, une fois volé, accorde un accès latéral. L'authentification multifacteur sur le compte principal n'a pas atténué cela, car l'attaque a opéré depuis une session déjà authentifiée via l'outil compromis.
Nous faisons confiance à une IA pour ne pas nous faire pirater... et c'est l'IA qui l'a fait 🤖
L'ironie a plusieurs niveaux. Nous intégrons des outils d'IA pour être plus efficaces et, peut-être, plus intelligents face aux menaces. Mais il s'avère que l'outil lui-même devient le cheval de Troie. C'est comme installer une serrure de dernière génération et que le serrurier vole la clé maîtresse. Le maillon le plus faible n'est plus l'humain qui clique sur un lien, mais le service automatisé auquel nous déléguons notre confiance. Un rappel que dans le cloud, votre sécurité est aussi forte que le plus petit fournisseur que vous utilisez.