🔐 Grafana : Incident de sécurité GitHub sans impact client
🗓 Publié le 27 avril 2025 sur grafana.com
🎯 Contexte
Grafana Labs a récemment détecté une activité suspecte sur l’un de ses dépôts GitHub. L’incident, rapidement identifié grâce à l’usage de canary tokens, concernait un workflow GitHub Actions vulnérable. Aucun environnement de production ni donnée client n’a été compromis.
🔍 Détails de l’incident
- Vecteur d’attaque : exploitation d’un workflow GitHub public nouvellement activé.
- Méthode : un acteur malveillant a forké un dépôt Grafana, injecté une commande
curlpour exfiltrer les variables d’environnement, puis supprimé le fork. - Impact : seul un nombre limité de jetons d’automatisation a été exposé. Aucun artefact de production, pipeline de build ou donnée sensible n’a été affecté.
🛡️ Réponse de sécurité
Grafana a rapidement mis en œuvre plusieurs actions correctives :
- Désactivation immédiate du workflow vulnérable et des workflows similaires sur les dépôts publics.
- Rotation de tous les secrets exposés.
- Analyse automatisée avec Trufflehog pour détecter d’éventuelles fuites supplémentaires.
- Audit interne des workflows à l’aide de Gato-X pour durcir la sécurité CI/CD.
✅ Conclusion
Grâce à une détection rapide et une réponse rigoureuse, l’incident n’a eu aucun impact client. Grafana Labs poursuit le renforcement de ses pratiques de sécurité CI/CD, notamment via l’intégration d’outils comme Zizmor et Trufflehog, et s’engage à publier un retour d’expérience plus détaillé à l’issue de l’analyse post-incident.
🔗 Lire l’article original sur grafana.com
🔗 Source originale : https://grafana.com/blog/2025/04/27/grafana-security-update-no-customer-impact-from-github-workflow-vulnerability/