Vulnérabilités et Alertes

Violation de données Red Hat : analyse pour les CISO, CERT, CSIRT et SOC

by  • 

Résumé exécutif

Le 2 octobre 2025, le groupe d’extorsion Crimson Collective a publié sur Telegram qu’il avait compromis les dépôts GitLab/GitHub privés liés à Red Hat Consulting. Selon plusieurs sources, les attaquants auraient dérobé environ 570 Go de données compressées provenant d’environ 28 000 dépôts internes. Les fichiers volés incluraient des rapports d’engagement client (Customer Engagement Reports ‑ CER) contenant des diagrammes d’architecture, des détails de configuration, des jetons d’authentification et des plans de réseau. La fuite exposerait également des secrets d’intégration (CI/CD), des profils VPN, des plans d’infrastructure et des informations sur les clients de secteurs critiques.

Red Hat a confirmé l’incident et a précisé qu’il concernait un dépôt GitLab auto‑géré utilisé par Red Hat Consulting, sans impact sur ses autres services ou produits. Les organisations utilisant les services de Red Hat sont encouragées à changer immédiatement leurs clés et jetons, à analyser leurs intégrations et à suivre les meilleures pratiques de sécurité des dépôts afin de réduire les risques de chaîne d’approvisionnement.

Aperçu de l’incident

Le Crimson Collective est un groupe émergent d’extorsion qui s’est fait connaître en divulguant des listes de fichiers volés et en revendiquant avoir compromis les dépôts internes de Red Hat Consulting. Selon Cyber Security News, les cybercriminels auraient. Des organisations majeures de la finance, des télécommunications, de l’aéronautique et du secteur public sont mentionnées dans l’arborescence des dépôts compromis, notamment Citi, Verizon, Siemens, Bosch, JPMC, HSBC, Telstra, Telefonica et même le Sénat américain.

The Register souligne que les pirates ont publié des listes de fichiers et des échantillons, montrant des extraits de configurations et des chaînes de connexion à des bases de données qui paraissent authentiques. Les rapports seraient datés de 2020 à 2025 et décriraient l’infrastructure de clients publics et privés.

Red Hat a indiqué que l’incident était restreint à un dépôt GitLab auto‑géré utilisé exclusivement pour des engagements de conseil et qu’aucun produit ou service commercial n’était concerné. La société a affirmé avoir entrepris des mesures correctives et rester « hautement confiante » dans l’intégrité de sa chaîne d’approvisionnement logicielle. Dans une déclaration à 404 Media, la vice‑présidente des communications de Red Hat a confirmé l’enquête sur l’attaque et précisé que l’entreprise avait lancé les mesures nécessaires.

Nature des informations compromises

L’analyse préliminaire des données exfiltrées révèle des catégories de renseignements particulièrement sensibles :

  • Secrets et informations d’authentification : jetons d’authentification, chaînes de connexion à des bases de données et secrets de pipelines CI/CD. Le Registre rapporte que des jetons ont été trouvés dans les dépôts et qu’ils auraient déjà été utilisés pour attaquer certains clients de Red Hat.
  • Fichiers de configuration et guides d’installation : profils VPN, plans d’infrastructure, blueprints OpenShift, playbooks Ansible et inventaires. Ces documents fournissent des schémas de réseaux et des configurations détaillées des environnements clients.
  • Rapports d’engagement client (CER) : documents consultatifs contenant des diagrammes d’architecture et des évaluations de sécurité pour des organisations clientes ; le CCB note que ces rapports peuvent inclure des informations réseau, des configurations et des clés d’authentification.
  • Données d’entreprises tierces : la liste des CER mentionnerait des institutions bancaires, des opérateurs télécoms, des compagnies aériennes, des organismes publics et diverses entités gouvernementales comme la banque de la Réserve fédérale, Samsung, PepsiCo ou encore le Département de la Sécurité intérieure des États‑Unis.

Ces informations fournissent aux attaquants un aperçu approfondi des infrastructures clients, ce qui peut servir à planifier des attaques ultérieures ou à exercer une pression pour obtenir une rançon.

Impact potentiel sur la chaîne d’approvisionnement et sur les clients

Les consultants en cybersécurité craignent que cette violation ne représente un risque de chaîne d’approvisionnement majeur. Les secrets exposés peuvent permettre des infiltrations dans les environnements clients via des pipelines CI/CD, des registres de conteneurs ou des systèmes d’automatisation. Les données piratées référencent des centaines d’entreprises et d’organismes publics, indiquant que les effets en cascade pourraient toucher plusieurs secteurs essentiels. Le Centre pour la cybersécurité belge (CCB) a averti que les organisations belges utilisant les services de Red Hat Consulting sont exposées à un risque élevé, et que même les partenaires et fournisseurs de services tiers pourraient être concernés.

Les CER contiennent des détails sur l’architecture et les configurations des clients. Si ces informations sont exploitées, des attaquants pourraient concevoir des attaques ciblées, préparer des mouvements latéraux ou compromettre des infrastructures critiques. Le Registre souligne qu’une faille critique (CVSS 9,9) dans la plateforme OpenShift AI de Red Hat a été révélée récemment, ce qui pourrait exacerber l’inquiétude quant à l’exploitation combinée de cette vulnérabilité et des informations volées.

Réponse de Red Hat et des autorités

Red Hat a rapidement reconnu l’incident et a précisé qu’il ne concernait qu’un dépôt GitLab Community Edition auto‑géré par sa branche conseil. Le fournisseur de la plate‑forme, GitLab, a déclaré qu’aucune de ses instances gérées n’avait été compromise et a rappelé que les clients qui déploient des instances auto‑gérées sont responsables de la mise en place des correctifs et contrôles d’accès. De son côté, le Crimson Collective s’est qualifié de groupe de rançongiciel motivé par le profit et a menacé de publier les données volées si les victimes ne négociaient pas.

Le CCB a recommandé à toutes les organisations concernées de révoquer et renouveler immédiatement leurs clés, jetons et certificats liés à Red Hat et de contacter leurs prestataires pour évaluer l’étendue potentielle de l’exposition. Certaines entreprises, averties par les pirates, auraient ignoré les alertes, offrant ainsi aux attaquants la possibilité de pénétrer plus profondément leurs systèmes.

Recommandations pour les CISO, CERT, CSIRT et SOC

  1. Évaluation immédiate des accès et des secrets : examinez les intégrations avec Red Hat Consulting, identifiez tous les jetons, clés et identifiants partagés et procédez à leur rotation. Vérifiez les accès CI/CD, VPN et registres de conteneurs afin de détecter toute activité anormale.
  2. Analyse des dépendances et de la chaîne d’approvisionnement : cartographiez les dépendances logicielles et les processus utilisant des playbooks ou des pipelines fournis par Red Hat. Vérifiez les accès des prestataires externes et exigez d’eux qu’ils appliquent les correctifs de sécurité et les politiques d’accès minimal nécessaires.
  3. Durcissement et mise à jour des plateformes auto‑gérées : si votre organisation utilise des instances auto‑gérées de GitLab ou d’autres outils, appliquez les correctifs de sécurité et activez les contrôles d’accès multifactoriels. GitLab rappelle que les clients doivent maintenir leur propre sécurité sur les instances auto‑gérées.
  4. Surveillance renforcée et détection d’intrusions : augmentez la visibilité sur les systèmes en surveillant les journaux d’audit, les pipelines CI/CD et les accès réseau pour repérer toute activité suspecte. Mettez en place des alertes pour toute utilisation de secrets obsolètes ou l’activation de processus inhabituels.
  5. Plans de réponse et d’information : élaborez ou actualisez les plans de réponse aux incidents pour intégrer des scénarios de fuite de données et d’extorsion. Communiquez avec les parties prenantes (internes et externes) sur les risques potentiels et sur les mesures prises.

Bon courage aux équipes DFIR !

Sources utilisées