Grafana refuse de payer la rançon pour le code volé
Les attaquants ont divulgué des dépôts GitHub, mais les données des clients restent intactes. L'entreprise a décidé de ne pas céder au chantage et s'apprête à publier les détails de la brèche.
« Nous n'avons pas besoin de vous » : comment Grafana a snobé les pirates et transformé une brèche en leçon pour toute l'industrie
Le 15 mai, le groupe cyber Coinbase Cartel a posté Grafana Labs sur son site de fuites avec un message moqueur : « Nous pouvons vous causer plus de tort que vous ne l'imaginez. » Le 17 mai, Grafana a répondu. Pas avec de l'argent. Avec un court fil sur X qui se terminait par la phrase : « Nous avons déterminé que la bonne voie est de ne pas payer la rançon. »
Pas de négociations. Pas de consultants en crise avec des mallettes de Bitcoin. L'entreprise, dont le logiciel de visualisation de données tourne dans les centres de données de la moitié du Fortune 500, a simplement refusé de jouer selon les règles des extorqueurs. Et, d'après les premiers détails de l'enquête, ils avaient des raisons solides pour le faire.
Comment un jeton valant zéro dollar a ouvert les portes du royaume
L'attaque n'était ni sophistiquée ni élégante. Les attaquants n'ont pas percé le périmètre avec du phishing en plusieurs étapes ni exploité des zero-days. Ils ont obtenu un jeton d'accès à l'environnement GitHub de Grafana Labs – et cela a suffi pour télécharger l'intégralité du code source.
La racine du problème réside dans une erreur technique spécifique. L'un des dépôts avait une GitHub Action activée avec une vulnérabilité de type « Pwn Request » – une mauvaise configuration classique sur l'événement pull_request_target. Ce déclencheur permettait aux contributeurs externes soumettant des pull requests d'accéder aux secrets de production lors des exécutions CI/CD. L'attaquant a forké le dépôt, injecté du code malveillant via curl, exfiltré les variables d'environnement dans un fichier chiffré, et immédiatement supprimé le fork pour couvrir ses traces. Il a ensuite répété l'attaque sur quatre autres dépôts privés.
L'intrusion a été détectée grâce à des canary tokens – Grafana avait placé des milliers de ces pièges dans son infrastructure, et l'un d'eux s'est déclenché, alertant immédiatement l'équipe de sécurité mondiale. À partir de ce moment, une course a commencé : l'entreprise a simultanément mené une analyse forensique, révoqué les identifiants compromis et désactivé les workflows vulnérables.
Résultat de l'enquête : données clients intactes, informations personnelles non affectées, impact sur les systèmes utilisateurs et les opérations nul. Les attaquants n'ont eu accès qu'au code.
Pourquoi Coinbase Cartel n'est pas qu'un groupe de pirates, mais une alliance de légendes
Le nom Coinbase Cartel semble presque comique. Mais derrière lui se tient un groupe que les analystes relient à trois noms qui font trembler les RSSI du monde entier : ShinyHunters, Scattered Spider et Lapsus$. Ces équipes coordonnent leurs actions depuis au moins mi-2025, et selon certaines données, coopèrent depuis 2024.
Les tactiques de Coinbase Cartel diffèrent des gangs de ransomware classiques. Ils ne chiffrent pas les fichiers ni ne paralysent l'infrastructure. Ils volent des données sensibles, exigent une rançon pour ne pas les divulguer, et détruisent méthodiquement la réputation de ceux qui refusent de payer. Au moment de l'attaque contre Grafana, leur site de fuites listait 105 victimes. Parmi elles : Instructure (créateur de Canvas LMS), Vimeo, Wynn Resorts, Vercel et Medtronic.
Le contraste entre les comportements des victimes est un drame en soi. Instructure, dont le logiciel éducatif sert 275 millions d'étudiants et d'enseignants, a payé les extorqueurs la semaine dernière. Grafana ne l'a pas fait. La différence est qu'Instructure a vu ses données utilisateurs fuiter, tandis que Grafana n'a perdu « que » du code source. Quand la vie privée d'un quart de milliard de personnes est en jeu, l'arithmétique du risque réputationnel change radicalement.
Open source, closed source et code pour lequel on exige du Bitcoin
Cela soulève une question que The Register a posée avec son sarcasme caractéristique : « Si les attaquants ont téléchargé un code qui est en grande partie open source de toute façon, pourquoi payer pour cela ? » Grafana est un produit open source. Une grande partie de son code source est publiquement disponible sur GitHub.
Mais le diable est dans les détails. Grafana Labs a confirmé que les attaquants ont eu accès à des dépôts privés. Ceux-ci pourraient contenir n'importe quoi : outils internes, endpoints non documentés, logique d'authentification, scripts de configuration pour les clients entreprises. Les chercheurs en sécurité ont déjà souligné qu'une telle fuite de code déplace le risque du plan « vie privée » vers le plan « feuille de route pour de futures attaques » – les attaquants peuvent étudier le code source pendant des mois, cherchant des schémas pour permettre une pénétration plus profonde.
Grafana comprend cela. Mais le calcul est simple : payer, et vous financez l'écosystème d'extorsion sans aucune garantie que les données ne fuiteront pas dans une semaine. Ne pas payer, et le code est déjà entre les mains des attaquants, mais d'autres fuites ne leur rapporteront pas un centime. L'entreprise a cité presque mot pour mot la position du FBI : payer ne fait que créer une incitation à commettre d'autres crimes.
L'industrie de la sécurité reçoit un cours magistral gratuit
Cet incident remodèle plusieurs couches de l'industrie simultanément. La communauté open source gagne : Grafana a promis de publier un rapport post-incident détaillé après la conclusion de l'enquête. Les ingénieurs DevOps et DevSecOps du monde entier auront une étude de cas réelle avec vecteur d'attaque, chronologie et mesures de réponse – pas un scénario d'entraînement synthétique, mais une véritable expérience de combat.
Les entreprises qui n'ont pas encore vérifié leurs GitHub Actions pour la vulnérabilité pull_request_target perdent. Les chercheurs qualifient cette surface d'attaque de « massivement sous-estimée » dans l'écosystème open source. Chaque dépôt public qui fusionne des PR de contributeurs externes sans audit approfondi des workflows ressemble désormais à une cible potentielle.
Les négociateurs de rançons perdent aussi. Plus les entreprises refusent publiquement de payer – et survivent sans conséquences catastrophiques – plus la position des extorqueurs à la table des négociations s'affaiblit. Grafana a créé un précédent : on peut perdre du code et continuer ses opérations sans interruption si son architecture de sécurité sépare initialement les données utilisateurs des outils de développement.
Ce qui changera après le 17 mai
Grafana a déjà révoqué les jetons compromis, désactivé la GitHub Action vulnérable et arrêté tous les workflows dans les dépôts publics pendant l'audit. Dans les semaines à venir, l'entreprise publiera un rapport final. Il deviendra l'un des documents les plus lus dans le monde DevSecOps – le niveau d'intérêt est comparable à l'analyse de la brèche SolarWinds.
Je m'attends à trois conséquences spécifiques. Premièrement : GitHub resserrera les paramètres par défaut pour pull_request_target ou ajoutera au moins des avertissements plus agressifs dans l'interface. Trop d'entreprises marchent sur le même râteau. Deuxièmement : Coinbase Cartel intensifiera la pression. Ils ont 105 victimes dans leur portefeuille, et le refus public de Grafana est un coup porté à leur modèle économique. Des représailles pourraient suivre, peut-être sous forme de fuite du code volé sur des forums de l'ombre. Troisièmement : les RSSI du monde entier rédigent en ce moment même des demandes à leurs équipes : « Vérifiez si nous avons pull_request_target avec accès aux secrets. » Et c'est peut-être le meilleur résultat possible de tout cet incident.
Grafana a montré à quoi ressemble une position mature : pas de panique, pas de déni, pas de valises de crypto. Juste une analyse technique froide, une révocation de jetons et une correction d'erreur en temps réel. Les pirates ont volé le code – mais pas le contrôle. Et dans un monde où les ransomwares sont devenus une industrie de plusieurs milliards de dollars, une telle réponse vaut plus que n'importe quelle rançon.
— Editorial Team