La plateforme de développement Web3 Vercel a confirmé une faille de sécurité provenant d'un outil d'IA tiers compromis, les attaquants réclamant apparemment une rançon de 2 millions de dollars pour les données internes volées.
Le fournisseur de services cloud, qui héberge des applications front-end pour des milliers d'entreprises, a reconnu l'incident publiquement après que le groupe de piratage ShinyHunters a publié des parties des données en ligne. Vercel a déclaré que seul un « sous-ensemble limité » de clients était concerné, mais les attaquants affirment vendre activement des données supplémentaires sur des forums du dark web.
La faille a exposé des systèmes internes et ce que Vercel a classé comme des variables d'environnement « non sensibles », selon un rapport de The Verge. Pour les projets crypto et Web3, ces variables contiennent souvent des données hautement sensibles, notamment des clés API, des identifiants de base de données et des fragments de clés privées. Les experts en sécurité ont immédiatement conseillé à tous les clients de Vercel de renouveler leurs identifiants et d'auditer les journaux d'accès pour toute activité entre le 17 et le 19 avril.
Cette faille survient à un moment critique pour Vercel, qui se préparait apparemment à une introduction en bourse (IPO) suite à une augmentation de ses revenus de 240 %. L'incident force l'entreprise à adopter une posture défensive juste au moment où elle doit projeter de la stabilité auprès des investisseurs, tandis que des rivaux comme Netlify et Render contacteraient les clients de Vercel pour positionner leurs plateformes comme des alternatives plus sûres.
L'escalade des attaques sur la chaîne d'approvisionnement
L'incident Vercel est le dernier d'une série d'attaques coûteuses contre la chaîne d'approvisionnement ciblant l'infrastructure de développement logiciel. Bien que Vercel n'ait pas nommé le fournisseur d'IA compromis, la faille souligne comment les intégrations tierces créent de nouveaux vecteurs d'attaque capables de contourner les périmètres de sécurité traditionnels.
Cette attaque fait suite à un trimestre brutal pour le secteur des actifs numériques, qui a perdu 482 millions de dollars en raison de piratages et d'escroqueries au premier trimestre 2026, selon la société de sécurité Hacken. La nouvelle concernant Vercel survient quelques semaines seulement après deux des plus grands exploits de l'année : un piratage de pont de 292 millions de dollars frappant le protocole de restaking liquide Kelp DAO et une faille administrative de 285 millions de dollars chez Drift Protocol. Ces incidents soulignent un changement où les attaquants ciblent de plus en plus les couches opérationnelles et d'infrastructure plutôt que les simples contrats intelligents on-chain.
Les projets Web3 se mobilisent pour répondre
Le compromis a provoqué une vague d'inquiétude au sein de l'écosystème de la finance décentralisée (DeFi) et du Web3, où Vercel est un élément fondamental de l'infrastructure pour l'hébergement d'applications destinées aux utilisateurs. Plusieurs projets crypto ont commencé des audits immédiats de leur exposition, partant du principe que tout identifiant stocké dans les systèmes de Vercel pourrait être compromis. L'incident a déjà eu des répercussions, le protocole de prêt Aave ayant gelé les marchés pour le rsETH, le jeton touché par le récent piratage de Kelp DAO, illustrant le risque interconnecté au sein de l'infrastructure DeFi.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
