C’est un autre mardi. Encore une fuite. Une autre menace.
Grafana Labs – les personnes derrière cet outil de visualisation open source populaire dont nous dépendons tous – affirme que leur base de code a été compromise.
Une grosse affaire ? Peut-être pas. Certainement préoccupant.
Ils ont confirmé la violation sur les réseaux sociaux, ce qui semble étrangement normal maintenant. L’enquête a montré que les assaillants n’ont pas brisé de mur ; ils ont trouvé une porte non verrouillée. Plus précisément, un identifiant de jeton volé. Cela leur a donné accès à l’environnement GitHub de Grafana où se trouve le code source.
Ont-ils obtenu des dossiers clients ? Non. Des données financières ? Non, juste le code.
L’agresseur a tenté de nous faire chanter. Exiger un paiement pour empêcher la libération.
C’est l’essentiel. Extorsion. Simple et direct.
Voici le piège. Le code de Grafana est open source. C’est public. Toute personne disposant d’Internet peut le télécharger. Ils peuvent le modifier. Ils peuvent le gérer.
Alors pourquoi menacer de divulguer quelque chose que tout le monde peut déjà voir ?
Peut-être qu’il y a aussi des éléments exclusifs. Un mélange de sauce secrète et d’ingrédients ouverts. Nous ne le savons pas encore. La société n’a pas précisé si quelque chose d’unique avait réellement été volé au-delà de ce qui est déjà visible sur le Web.
Ils ont immédiatement tué le jeton volé. J’ai verrouillé les portes. Ajout de nouveaux verrous pour faire bonne mesure.
Comparez cela avec Instructure. Le géant des technologies éducatives ? Ils ont payé. Ils « sont parvenus à un accord ». Ça a l’air propre. Professionnel, même.
Les pirates d’Instructure avaient compromis le réseau à deux reprises. Deux fois. Ensuite, ils ont menacé de divulguer les données sur le personnel et les étudiants. Chaos de masse. Site Web dégradé. Instructure a coupé le chèque.
Grafana a refusé.
Citant le FBI, évidemment. Les conseils ne changent jamais. Ne payez pas. Vous ne récupérerez toujours pas vos données. Les criminels publient toujours la fuite. Et maintenant ? Vous venez de financer la prochaine attaque.
Les critiques détestent les ransomwares. Tout le monde convient que payer est une mauvaise idée. Mais le faire ?
L’enquête de Grafana se poursuit. Ils promettent de partager leurs découvertes plus tard. Toujours le « à déterminer ».
Pour l’instant, le code reste sur leurs serveurs. Ou peut-être que c’est là-bas. Est-ce important ? C’était public de toute façon.
Mais la question ne concerne pas vraiment le code. C’est une question de principe. Ou un effet de levier.
Qui détient le pouvoir lorsque la serrure est ouverte mais que le coffre au trésor n’a jamais été complètement verrouillé en premier lieu ?
Personne ne semble encore sûr.
