Ah, la douce ironie du sort. Deux fleurons de la cybersécurité – Checkmarx et Bitwarden – viennent de se faire dépouiller comme des pieds nickelés via une attaque de la chaîne d'approvisionnement. C'est le monde merveilleux de la supply-chain security où ceux qui vendent des paratonnerres finissent électrocutés. Susanoo News déballe le fiasco sans gants.
Le scénario : du poison dans la pâte logicielle
Mi-2024, des chercheurs découvrent que des paquets malveillants ont été injectés dans des dépendances utilisées par Checkmarx et Bitwarden. Résultat : les clés de signature, tokens d'API et identifiants internes ont fui, exposant les clients de ces deux sociétés. Une attaque propre, chirurgicale – et surtout, terriblement embarrassante pour des firmes dont le seul job est de protéger les autres contre ce genre de saloperie.
Les détails techniques sont connus : un typosquatting sur npm (Bon, vraiment ?) a piégé les pipelines CI/CD. Les attaquants ont patiemment attendu que les mises à jour automatiques intègrent leur code vérolé. Checkmarx a reconnu l'incident le 14 mars 2024 sans donner de chiffres précis. Bitwarden, elle, a bafouillé un communiqué lénifiant parlant de 'mesures correctives' – autrement dit, on a changé les mots de passe et on croise les doigts.
Pourquoi eux ? Parce que ce sont des cibles parfaites
Les entreprises de sécurité gèrent des enclaves de secrets – tokens, certificats, accès privilégiés. Le moindre trou dans leur chaîne offre aux pirates un passe-partout pour des centaines de clients. C'est la porte d'entrée en or massif. Alors oui, se faire attaquer via une dépendance tierce, c'est un classique. Mais quand ce sont les gardiens eux-mêmes qui tombent dans le panneau, la confiance en prend un sacré coup.
Rappelons qu'en 2023, Checkmarx avait déjà subi une fuite de données via un bucket S3 mal configuré. Bitwarden, de son côté, promettait monts et merveilles sur son audit de code open source. On voit le résultat. Security vendors, heal thyself – mais visiblement, le sermon ne passe pas.
Qui se goinfre ? Les pirates, bien sûr. Et les avocats aussi
Côté attaquants : un groupe probablement lié au cybercrime russe – mais aucun gouvernement ne commentera avant des mois. Côté victimes : des cabinets d'avocats spécialisés dans les class actions américaines préparent déjà leurs dossiers. Chiffre d'affaires potentiel : plusieurs dizaines de millions de dollars en dommages et intérêts. Les clients, eux, restent assis sur leurs données compromises, avec pour toute consolation un mail corporate aseptisé.
La morale de l'histoire ? La sécurité est une illusion coûteuse, surtout quand ceux qui la vendent ne sont pas les premiers à l'appliquer. Checkmarx, Bitwarden : vos prochaines campagnes marketing devraient peut-être porter sur l'humilité. Les vrais hackers, eux, ne font pas de bruit – ils volent.
Susanoo News vous rappelle que la seule supply-chain qui tient vraiment la route, c'est celle de vos sacs de riz en temps de guerre. Le reste, c'est du bricolage numérique à 2 billions de dollars.