AnimaPro

L'actualité animée !

Actualités

Red Hat confirme une fuite massive : 570 Go de données volées depuis GitLab

Red Hat confirme une fuite massive : 570 Go de données volées depuis GitLab

Le groupe Crimson Collective revendique l’attaque

Le groupe de hackers Crimson Collective, jusqu’ici peu connu, a revendiqué le piratage d’une instance GitLab autogérée appartenant à la division consulting de Red Hat. Les chiffres donnent le vertige : 570 Go de données compressées extraites de plus de 28 000 dépôts (repositories).

L’instance compromise était une GitLab Community Edition autohébergée, utilisée par les équipes de consulting de Red Hat pour gérer les projets d’accompagnement de leurs clients. Il ne s’agit donc pas des dépôts de code source de Red Hat Enterprise Linux (RHEL) ni de l’infrastructure principale de l’entreprise.

Des données d’une sensibilité extrême

Parmi les données volées, les hackers affirment avoir récupéré plus de 800 rapports d’engagement client (CER – Customer Engagement Reports). Ces documents sont particulièrement sensibles car ils contiennent :

  • Des détails d’infrastructure : architectures réseau, topologies de serveurs, configurations systèmes détaillées.
  • Des données de configuration : fichiers de configuration applicatifs, paramètres de bases de données, variables d’environnement.
  • Des jetons d’authentification : tokens API, clés SSH, identifiants de service.
  • Des informations réseau : adresses IP internes, schémas de segmentation réseau, règles pare-feu.

Des victimes de premier plan

La liste des organisations dont les données ont été compromises est stupéfiante par son ampleur et sa diversité. Parmi les victimes identifiées :

Secteur privé

  • Bank of America : l’une des plus grandes banques américaines.
  • T-Mobile : opérateur télécom majeur, déjà victime de multiples fuites par le passé.
  • AT&T : géant des télécommunications.
  • Walmart : premier distributeur mondial.
  • Costco : chaîne de supermarchés.

Secteur public et défense

  • US Marine Corps : le corps des Marines des États-Unis.
  • FAA (Federal Aviation Administration) : l’autorité de l’aviation civile américaine.
  • US House of Representatives : la Chambre des représentants des États-Unis.

La présence d’agences gouvernementales et militaires dans cette liste confère à cette fuite une dimension de sécurité nationale.

La réponse de Red Hat

Red Hat a confirmé l’incident dans un communiqué officiel, déclarant avoir « rapidement lancé une enquête, supprimé les accès non autorisés, isolé l’instance compromise et contacté les autorités compétentes ».

L’entreprise a tenu à préciser plusieurs points importants :

  • L’attaque concerne uniquement une instance GitLab de la division consulting, pas l’infrastructure de développement de RHEL.
  • La chaîne d’approvisionnement logicielle (supply chain) de RHEL n’est pas affectée.
  • Les produits Red Hat restent sûrs à utiliser.
  • Les clients concernés ont été notifiés individuellement.

Les hackers affirment avoir déjà exploité les données

L’aspect le plus inquiétant de cette affaire réside dans les déclarations du groupe Crimson Collective. Les pirates affirment avoir déjà exploité les données volées pour accéder aux systèmes de certains clients de Red Hat. Si cette affirmation est vérifiée, les conséquences pourraient être catastrophiques.

Les jetons d’authentification et les configurations réseau contenus dans les CER constituent en effet des vecteurs d’attaque directs. Un attaquant disposant du schéma réseau interne, des clés API et des configurations serveur d’une organisation peut potentiellement :

  • Pénétrer le réseau interne sans déclencher les systèmes de détection d’intrusion.
  • Escalader ses privilèges en utilisant des identifiants de service légitimes.
  • Exfiltrer des données en utilisant les canaux de communication existants.
  • Déployer des portes dérobées persistantes.

Aucun CVE attribué : un incident humain, pas technique

Fait notable : aucun CVE (Common Vulnerabilities and Exposures) n’a été attribué à cet incident. Cela signifie que la compromission n’est pas liée à une vulnérabilité logicielle dans GitLab lui-même, mais plutôt à un défaut de configuration, de gestion des accès ou d’hygiène de sécurité de l’instance autogérée.

C’est un rappel cruel que même les entreprises les plus compétentes techniquement ne sont pas à l’abri d’erreurs humaines. Utiliser une GitLab Community Edition autogérée pour stocker des données aussi sensibles soulève des questions sur les politiques de sécurité internes de Red Hat Consulting.

Les leçons à tirer pour les entreprises

Cet incident est riche d’enseignements pour toute organisation utilisant des instances GitLab autogérées :

  1. Auditez régulièrement vos instances Git : vérifiez les droits d’accès, les tokens actifs et les configurations de sécurité.
  2. Ne stockez jamais de secrets dans les dépôts : utilisez des gestionnaires de secrets (Vault, AWS Secrets Manager, etc.).
  3. Chiffrez les données sensibles au repos : même en cas de fuite, les données chiffrées sont inexploitables.
  4. Segmentez les accès : les consultants ne devraient accéder qu’aux dépôts de leurs propres clients.
  5. Surveillez les accès inhabituels : l’exfiltration de 570 Go ne passe pas inaperçue avec un monitoring adéquat.

Ce qu’il faut retenir

Cette fuite massive chez Red Hat illustre un paradoxe de la cybersécurité moderne : les entreprises investissent des millions dans la sécurité de leurs produits tout en négligeant parfois la sécurité de leurs outils internes. Les 570 Go de données volées, touchant des géants comme Bank of America et des institutions comme le corps des Marines américain, pourraient avoir des répercussions pendant des mois, voire des années.

Articles similaires

Insolvabilité de FWULife Insurance: quelles conséquences pour les épargnants Français ?

Insolvabilité de FWULife Insurance: quelles conséquences pour les épargnants Français ?

Ubuntu 26.04 met fin à une habitude vieille de 40 ans : sudo affiche désormais des astérisques

Ubuntu 26.04 met fin à une habitude vieille de 40 ans : sudo affiche désormais des astérisques

Panne La banque Postale et Colissimo du lundi 22 décembre

Panne La banque Postale et Colissimo du lundi 22 décembre