Red Hat a confirmé avoir subi un piratage visant l’un de ses serveurs GitLab utilisés pour ses missions de conseil. Derrière l’attaque, un groupe d’extorsion qui affirme avoir mis la main sur des centaines de rapports techniques détaillant les infrastructures de grandes entreprises et d’organismes publics.
C’est un incident qui embarrasse Red Hat et inquiète ses clients les plus stratégiques. Le groupe de pirates Crimson Collective a contacté le média spécialisé BleepingComputer pour revendiquer l’intrusion dans un serveur GitLab utilisé par l’activité de conseil de l’éditeur open source. Selon eux, des centaines de données internes auraient été copiées, parmi lesquelles des rapports techniques décrivant des environnements réseau et des configurations critiques. Red Hat a confirmé l’attaque, ouvert une enquête et assure que ses produits ainsi que sa chaîne d’approvisionnement logicielle ne sont pas affectés, mais les informations volées pourraient représenter un risque concret pour les systèmes des organisations concernées.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
28 000 dépôts internes pillés, des agences fédérales concernées
D’après les informations obtenues directement par BleepingComputer, Crimson Collective revendique l’exfiltration d’environ 570 Go de données issues de quelque 28 000 dépôts internes liés aux activités de Red Hat Consulting. Ces archives comprendraient plusieurs centaines de Customer Engagement Reports (CER), des documents produits lors de missions de conseil, et susceptibles de contenir des détails extrêmement sensibles sur les systèmes des clients comme la topologie réseau, les configurations internes, des clés d’API, des jetons d’authentification, des URI de bases de données ou encore des extraits de code utilisés pour intégrer les solutions Red Hat.
Pour étayer leurs affirmations, les assaillants ont diffusé sur Telegram un inventaire complet des dépôts GitLab qu’ils disent avoir compromis, ainsi qu’un index de CER couvrant les années 2020 à 2025. Parmi les organisations citées figurent Bank of America, AT&T, T-Mobile, Walmart, Costco, la Federal Aviation Administration, la Navy américaine ou encore la Chambre des représentants. Le groupe affirme aussi avoir tenté d’extorquer Red Hat, mais dit n’avoir reçu qu’une réponse automatisée les redirigeant vers le programme officiel de signalement de vulnérabilités.
Red Hat, contacté par BleepingComputer, a confirmé l’intrusion avant de publier un billet de sécurité sur son site officiel. L’éditeur explique avoir détecté l’accès non autorisé, coupé la connexion des intrus, isolé l’instance GitLab compromise et appliqué des mesures de durcissement supplémentaires. L’enquête se poursuit pour mesurer l’étendue exacte des données copiées.
Un risque concret pour les infrastructures clientes
Les CER n’ont pas vocation à contenir des données personnelles, mais ils peuvent renfermer bien pire du point de vue technique, comme des clés d’API, des jetons d’accès, des configurations internes ou des chemins vers des ressources critiques. Si ces éléments ne sont pas rapidement révoqués ou modifiés, ils peuvent servir de point d’entrée à des intrusions ciblées, voire faciliter un mouvement latéral une fois un premier accès obtenu.
Red Hat n’a pas publié la liste complète des clients concernés et les pirates n’ont rendu publics que des exemples essentiellement américains. L’éditeur a précisé avoir contacté directement les entreprises et administrations affectées, sans exclure que d’autres régions du monde aient pu être touchées. Les organisations françaises qui ont fait appel à Red Hat Consulting pourraient donc être touchées et ont intérêt à vérifier si des clés ou identifiants issus de leurs projets ont pu être exposés.
L’incident met aussi en lumière la fragilité des instances GitLab autogérées, omniprésentes dans les grandes organisations pour héberger du code interne. Contrairement à la plateforme GitLab.com, leur sécurité dépend entièrement des équipes qui les exploitent et de la rigueur de leurs mises à jour. Dans ce cas précis, Red Hat s’est retrouvé touché par un composant qu’il gère lui-même, sans que GitLab soit directement compromis.
Par conséquent, pour les entreprises citées par les attaquants et celles qui soupçonnent être concernées, l’heure est désormais à l’audit : rotation des clés d’accès, vérification des configurations internes et durcissement des contrôles. Red Hat assure que ses produits et mises à jour officielles ne sont pas concernés, mais les environnements techniques décrits dans ces rapports pourraient devenir des cibles si les informations exfiltrées se révèlent authentiques.
Sources : BleepingComputer, RedHat
