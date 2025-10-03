570 Go de données compressées issues de 28 000 dépôts internes : voici l'ampleur de la fuite de données à laquelle doit faire face Red Hat. Cette cyberattaque a été orchestrée par un groupe surnommé le Collectif Crimson et les données proviennent d'un serveur GitLab. À quoi correspondent ces données ? Quels sont les risques ? Faisons le point.

Il s'agit d'un incident majeur dans le monde de l'informatique ! Un groupe surnommé le Collectif Crimson a revendiqué l'accès et le vol de près de 570 Go de données compressées, extraites de plus de 28 000 dépôts internes stockés sur un serveur GitLab de Red Hat. La fuite de données a été confirmée par Red Hat, qui affirme qu'il s'agit d'une instance GitLab utilisée exclusivement par sa branche dédiée au conseil.

À quoi correspondent les données ?

La nature des données dérobées à de quoi inquiéter. En effet, ce serveur GitLab contient des "Customer Engagement Reports" (CERs), c'est-à-dire des rapports créés dans le cadre de missions de conseil qui contiennent des informations sensibles sur les réseaux et les plateformes des clients. Concrètement, ces rapports peuvent inclure :

Des détails d'infrastructure.

Des données de configuration.

Des jetons d'authentification.

D'autres informations potentiellement exploitables pour s'introduire dans les réseaux des clients.

Le Crimson Collective affirme avoir mis la main sur 800 rapports CER. La liste complète des dépôts et des CERs volés a été publiée sur un canal Telegram, révélant au passage une liste de victimes potentielles. On y trouve, par exemple, la Bank of America, T-Mobile, AT&T, Walmart, Costco, ainsi que des entités comme la Marine américaine (Naval Surface Warfare Center), la Federal Aviation Administration et la Chambre des représentants.

Les pirates affirment avoir déjà utilisé des informations présentes dans ces rapports pour accéder aux infrastructures de certains clients. Si ces faits sont avérés, ce ne serait plus uniquement une fuite de données, mais l'impact sera bien plus conséquent.

De son côté, Red Hat se montre plus prudent : "L'instance GitLab compromise abritait des données relatives à des missions de conseil, qui peuvent inclure, par exemple, les spécifications du projet de Red Hat, des exemples d'extraits de code et des communications internes sur les services de conseil. Cette instance GitLab ne contient généralement pas de données personnelles sensibles." - Tout en précisant que l'analyse était toujours en cours. Entre les dires des pirates et la réalité observée par les investigations de Red Hat, il peut y avoir des différences, y compris sur la nature des données : l'enquête devrait apporter des précisions.

La réponse de Red Hat

Red Hat a confirmé l'incident et un accès non autorisé à son instance GitLab. L'entreprise américaine a déclaré avoir "lancé les mesures de remédiation nécessaires" et a précisé que l'incident ne concernait que son activité de conseil, sans impacter le reste de ses services ni la chaîne d'approvisionnement logicielle. Cette dernière précision est une bonne nouvelle pour tous les utilisateurs de Red Hat Enterprise Linux.

Sur son site, Red Hat indique également : "Dès qu'il a été détecté, nous avons rapidement lancé une enquête approfondie, supprimé l'accès du tiers non autorisé, isolé l'instance et contacté les autorités compétentes. Notre enquête, qui est en cours, a révélé qu'un tiers non autorisé avait accédé à certaines données de cette instance et les avait copiées."

D'après les informations obtenues par BleepingComputer auprès de GitLab, la plateforme GitLab n'a pas été compromise. Il s'agit ici d'une instance autogérée par les équipes de Red Hat basée sur la "Community Edition", dont la sécurisation est de la seule responsabilité du client, en l'occurrence Red Hat.

Désormais, Red Hat va contacter directement l'ensemble des clients affectés par cet incident de sécurité.

