La cyberattaque TeamPCP contre Mistral AI : 450 dépôts privés menacés de publication

Imaginez-vous en train de naviguer tranquillement sur le web lorsque vous tombez sur une nouvelle qui vous glace le sang : une startup tech de renommée mondiale se trouve sous la menace d’un groupe de hackers. C’est exactement ce qui se passe avec Mistral AI, une entreprise française innovante qui vient de subir une attaque cybercriminelle d’une envergure inquiétante. Que s’est-il réellement passé et quelles conséquences cela pourrait-il avoir ? Plongeons ensemble dans les détails de cette affaire qui secoue le monde technologique.

Les 3 points clés

• TeamPCP prétend avoir accès à 450 dépôts privés de Mistral AI et exige 25 000 dollars.
• L’attaque a été rendue possible par une compromission temporaire de GitHub Actions, exploitant des jetons OIDC.
• Mistral AI affirme que les dépôts compromis ne contiennent pas de données critiques ou de clients.

La nature de la cyberattaque contre Mistral AI

Le groupe de hackers nommé TeamPCP a revendiqué sur un forum cybercriminel la possession de 5 Go d’archives internes de Mistral AI. Ces données incluraient près de 450 dépôts Git privés, parmi lesquels figurent des noms comme « mistral-inference-internal.tar.gz » et « chatbot-security-evaluation.tar.gz ». Les hackers exigent une rançon de 25 000 dollars pour ne pas diffuser ces informations, menaçant de les rendre publiques si aucun acquéreur ne se manifeste.

Conséquences potentielles pour Mistral AI et ses clients

Bien que Mistral AI ait confirmé une intrusion temporaire dans son système de gestion de code, elle assure que les données clients et services hébergés n’ont pas été affectés. Les dépôts compromis ne contiendraient que des informations non critiques. Cependant, certains fichiers, comme « pfizer-rfp-2025.tar.gz », laissent supposer la possible exposition de documents commerciaux sensibles liés à des partenaires importants.

En outre, les hackers auraient transmis des extraits de dépôts liés à la gestion des clients et aux abonnements API. Ces informations pourraient contenir des détails techniques précieux pour des concurrents ou des cybercriminels souhaitant exploiter ces systèmes.

Les méthodes utilisées par TeamPCP

L’attaque repose sur une compromission sophistiquée impliquant la récupération de jetons OIDC depuis les pipelines GitHub Actions. Les hackers ont utilisé ces jetons pour publier des paquets infectés sous des signatures légitimes, rendant difficile leur détection initiale. Ces paquets, une fois installés, permettaient le téléchargement de fichiers malveillants et l’extraction de secrets de divers services cloud comme AWS et GCP.

Les hackers ont également employé des techniques de persistance avancées, s’ancrant dans les hooks de développement pour garantir la réactivation du code malveillant à chaque redémarrage des outils de développement.

La montée en puissance des attaques sur la chaîne d’approvisionnement logicielle

Ce type d’attaque met en lumière une tendance croissante des cybercriminels à cibler la chaîne d’approvisionnement logicielle. En compromettant des outils et des environnements de développement, les attaquants peuvent potentiellement affecter de nombreuses organisations à travers le monde, amplifiant l’impact de leurs actions. D’autres incidents notables incluent l’attaque SolarWinds de 2020 qui a eu des répercussions mondiales.

L’importance de la sécurité dans les environnements de développement

Les récents événements soulignent la nécessité pour les entreprises de renforcer la sécurité de leurs environnements de développement. Les outils comme GitHub Actions, bien qu’incontournables pour l’automatisation, doivent être configurés avec des mesures de sécurité rigoureuses pour prévenir toute compromission. Les entreprises doivent également investir dans des solutions de gestion de secrets robustes pour protéger les informations sensibles de toute fuite.