La plate-forme développement et exploitation CircleCI exhorte les utilisateurs à faire la rotation des codes secrets

Les développeurs d’applications utilisant la plate-forme d’intégration continue CircleCI sont invités à faire la rotation de tous les codes secrets – y compris les mots de passe, les clés d’API et les certificats numériques – stockés dans le système, après la découverte d’un incident de sécurité non spécifié.

Dans un article de blog mercredi dernier, Rob Zuber, directeur de la technologie (CTO) de l’entreprise, a déclaré que cela inclut des codes secrets stockés dans des variables d’environnement de projet ou dans des contextes.

La société recommande également aux utilisateurs de consulter les journaux internes de leurs systèmes pour tout accès non autorisé à partir du 21 décembre 2022 ou à la fin de leur rotation des codes secrets.

Si un projet utilise des jetons d’API de projet, ils ont été invalidés par CircleCI et devront être remplacés.

En réponse à une question sur le forum de discussion de l’entreprise, un membre du personnel a déclaré que la rotation inclut les clés SSH, les jetons d’intégration Jira et Slack et les codes secrets du webhook.

« Nous nous excusons pour toute interruption à votre travail », a ajouté Rob Zuber. « Nous prenons très au sérieux la sécurité de nos systèmes et des systèmes de nos clients. Alors que nous enquêtons activement sur cet incident, nous nous engageons à partager plus de détails avec les clients dans les prochains jours. »

« À ce stade, nous sommes convaincus qu’aucun individu non autorisé n’est actif dans nos systèmes ; cependant, par prudence, nous voulons nous assurer que tous les clients prennent également certaines mesures préventives pour protéger leurs données. »

La société de San Francisco affirme que plus d’un million d’ingénieurs logiciels en développement et exploitation utilisent CircleCI et son moteur d’automatisation pour créer des applications pour plusieurs environnements, y compris Docker.

En novembre, elle a rejoint le programme Amazon Web Service (AWS) Service Ready pour les instances Spot Amazon Elastic Compute Cloud (Amazon EC2). CircleCI compte Cisco, Peloton et HashiCorp parmi ses clients.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Les administrateurs invités à corriger rapidement les failles du serveur de transfert de fichiers WS_FTP

Un autre ensemble de vulnérabilités critiques a été découvert dans une application de transfert de fichiers, ce qui fait craindre que, si elle est exploitée avant d'être corrigée, il entraînera également un grand nombre de violations de données.

Le Centre pour la cybersécurité émet une mise en garde après qu’un groupe indien eut lancé une menace

L'autorité cybernétique du gouvernement canadien a émis un avertissement aux administrateurs informatiques du pays pour qu'ils surveillent les attaques, après qu'un groupe ou un individu prétendant être originaire de l'Inde eut émis une menace de représailles à la suite d’allégations selon lesquelles l'Inde aurait pu être à l'origine de l'assassinat d'un Canadien militant en faveur d'un État sikh indépendant.

Le CCC lance une alerte après les attaques DDoS visant le gouvernement

Des attaques par déni de service distribué contre les sites Web des ministères fédéraux et de plusieurs provinces et territoires canadiens, dont l'Île-du-Prince-Édouard, le Yukon, la Saskatchewan et le Manitoba, ont incité l'agence fédérale de cybersécurité à émettre une alerte informatique.

Les utilisateurs d’Apple sont avisés par des chercheurs de l’Université de Toronto de mettre à jour leurs appareils en raison d’un logiciel espion

La semaine dernière, le Citizen Lab de l'Université de Toronto a découvert une vulnérabilité « activement exploitée » dans les appareils iPhone pour diffuser le logiciel espion mercenaire Pegasus du gang NSO, sans aucune interaction de la victime.

Corrigez ces vulnérabilités dans des produits VMware et Cisco

Les administrateurs de VMware et de certains appareils de Cisco Systems sont prévenus d'installer des correctifs dès que possible pour corriger des vulnérabilités graves.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.