CircleCI exhorte les clients à faire pivoter les secrets après un incident de sécurité

CircleCI, un service de développement de logiciels né aux États-Unis, a annoncé une menace de sécurité et exhorte les utilisateurs à faire tourner leurs secrets en conséquence.

CircleCI avertit les utilisateurs après un problème de sécurité

La plateforme américaine DevOps CircleCI a lancé un avertissement à ses utilisateurs pour qu’ils fassent tourner leurs secrets après avoir subi un incident de sécurité. Cette plate-forme CI/CD est populaire auprès des équipes logicielles, offrant une intégration et une livraison continues pour la création rapide de code. Plus d’un million de personnes et des milliers d’entreprises utilisent cet outil, bien qu’elles soient maintenant averties à la suite de cet incident de sécurité.

Dans un article de blog CircleCI , le directeur de la technologie, Rob Zuber, a dit aux utilisateurs de « faire immédiatement tourner tous les secrets stockés dans CircleCI », qui « peuvent être stockés dans des variables d’environnement de projet ou dans des contextes ».

Circle s’est également adressé à Twitter pour avertir les clients de ce problème.

Zuber a écrit dans le billet de blog susmentionné que les clients doivent « examiner les journaux internes de leurs systèmes pour tout accès non autorisé » à partir du 21 décembre 2022 jusqu’au 4 janvier 2023. Alternativement, les utilisateurs peuvent consulter leurs journaux internes après avoir échangé leurs secrets. De plus, Zuber a mentionné que tous les jetons de l’API Project ont été invalidés et doivent donc être remplacés par les utilisateurs.

CircleCI n’a pas fourni de détails sur l’incident de sécurité

Alors que CircleCI a informé les utilisateurs d’un problème de sécurité et a offert des conseils pour protéger les données, aucune information n’a encore été publiée sur la nature du problème. Cependant, il semble que CircleCI ait l’intention de fournir plus de détails sur l’incident dans un proche avenir (comme l’a déclaré Rob Zuber dans son article de blog à ce sujet).

Ce n’est pas le premier incident de sécurité de CircleCI

Bien que nous ne connaissions pas les détails de l’incident de sécurité discuté ici, nous savons que CircleCI a déjà traité des violations.

En 2019, l’entreprise a subi une brèche suite à l’infiltration d’un fournisseur d’analyses tiers. L’opérateur d’attaque a réussi à obtenir des noms d’utilisateur, des adresses e-mail, des noms de succursales, des URL de référentiel et des adresses IP. À l’époque, la société avait averti les utilisateurs de revoir à la fois leur référentiel et les noms de leurs succursales.

Agissez si vous êtes un utilisateur de CircleCI

S’il vous arrive d’utiliser CircleCI, il vaut la peine de considérer les conseils fournis par l’entreprise après ce problème de sécurité. La rotation de vos secrets et l’examen des journaux internes peuvent vous aider à vous protéger contre cette éventuelle menace de sécurité.