La plate-forme développement et exploitation CircleCI exhorte les utilisateurs à faire la rotation des codes secrets

Les développeurs d’applications utilisant la plate-forme d’intégration continue CircleCI sont invités à faire la rotation de tous les codes secrets – y compris les mots de passe, les clés d’API et les certificats numériques – stockés dans le système, après la découverte d’un incident de sécurité non spécifié.

Dans un article de blog mercredi dernier, Rob Zuber, directeur de la technologie (CTO) de l’entreprise, a déclaré que cela inclut des codes secrets stockés dans des variables d’environnement de projet ou dans des contextes.

La société recommande également aux utilisateurs de consulter les journaux internes de leurs systèmes pour tout accès non autorisé à partir du 21 décembre 2022 ou à la fin de leur rotation des codes secrets.

Si un projet utilise des jetons d’API de projet, ils ont été invalidés par CircleCI et devront être remplacés.

En réponse à une question sur le forum de discussion de l’entreprise, un membre du personnel a déclaré que la rotation inclut les clés SSH, les jetons d’intégration Jira et Slack et les codes secrets du webhook.

« Nous nous excusons pour toute interruption à votre travail », a ajouté Rob Zuber. « Nous prenons très au sérieux la sécurité de nos systèmes et des systèmes de nos clients. Alors que nous enquêtons activement sur cet incident, nous nous engageons à partager plus de détails avec les clients dans les prochains jours. »

« À ce stade, nous sommes convaincus qu’aucun individu non autorisé n’est actif dans nos systèmes ; cependant, par prudence, nous voulons nous assurer que tous les clients prennent également certaines mesures préventives pour protéger leurs données. »

La société de San Francisco affirme que plus d’un million d’ingénieurs logiciels en développement et exploitation utilisent CircleCI et son moteur d’automatisation pour créer des applications pour plusieurs environnements, y compris Docker.

En novembre, elle a rejoint le programme Amazon Web Service (AWS) Service Ready pour les instances Spot Amazon Elastic Compute Cloud (Amazon EC2). CircleCI compte Cisco, Peloton et HashiCorp parmi ses clients.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Les USA et la Corée du Sud lancent une alerte sur des gangs de rançongiciels de Corée du Nord

Des groupes de rançongiciels parrainés par l'État nord-coréen ciblent des hôpitaux et d'autres organisations d'infrastructures critiques, mettent en garde les forces de l'ordre et les agences de renseignement américaines et sud-coréennes.

Les administrateurs de systèmes industriels avisés de restreindre l’accès physique à certains automates Siemens

Les sites industriels utilisant des automates programmables (AP) de la série S7-1500 connectés au réseau de Siemens sont avisés d'isoler physiquement les appareils après la découverte de vulnérabilités graves.

Une vulnérabilité de Linux récemment découverte classée 10 en gravité

Les administrateurs Linux sont avisés de traiter cinq nouvelles vulnérabilités, dont l'une est classée 10 sur l’échelle de gravité CVSS (Common Vulnerability Scoring System).

Alerte émise de mettre à jour les appareils Citrix ADC et Gateway

Citrix a émis une alerte critique appelant à une action immédiate pour installer les mises à jour de certains modèles de ses produits Application Delivery Controller (ADC) et Gateway après la découverte d'une vulnérabilité du jour zéro permettant aux cybercriminels de contourner les contrôles d'authentification.

La NSA exhorte les développeurs à passer à des langages à mémoire sécurisée

Les développeurs d'applications peuvent réduire les chances que leur code comporte des vulnérabilités de mémoire en passant à un langage moderne, déclare la National Security Agency (NSA) des États-Unis.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.