2 min de lecture
Vercel piraté via un outil IA : les accès OAuth au coeur de la faille
Un employé Vercel avait accordé un accès complet à son Google Drive à Context.ai. Cette confiance a permis une intrusion dans les systèmes internes de la plateforme Next.js.
Vercel piraté via un outil IA : les accès OAuth au coeur de la faille
Le 19 avril 2026, Vercel a confirmé une violation de ses systèmes internes. L'intrusion n'est pas venue d'une attaque frontale contre ses serveurs. Elle a transité par Context.ai, un outil tiers d'analyse de code qu'un employé avait autorisé à lire l'intégralité de son Google Drive.
La chaîne d'attaque
Tout a commencé vers février 2026 par une infection au maliciel Lumma Stealer chez Context.ai. Les attaquants ont récupéré les jetons OAuth de la plateforme, ce qui leur a permis de se substituer à elle auprès de Google Workspace. L'employé Vercel concerné avait accordé à Context.ai une autorisation de lecture complète sur son compte Google professionnel.
Depuis ce point d'entrée, les attaquants ont accédé aux variables d'environnement Vercel non marquées comme "sensibles". Le 19 avril, le groupe ShinyHunters annonçait sur BreachForums la mise en vente des bases de données dérobées, des clés d'accès, des comptes employés et de fragments de code source, pour un prix affiché de deux millions de dollars.
Vercel a précisé qu'un "sous-ensemble limité" de données clients avait été compromis. Les variables d'environnement marquées "sensitive" dans la plateforme sont stockées différemment et n'auraient pas été accessibles. La société travaille depuis avec Mandiant, GitHub, Microsoft, npm et Socket. Aucun paquet npm publié par Vercel n'a été compromis selon les premières conclusions.
Un vecteur d'attaque qui prend de l'ampleur
Cet incident illustre une surface d'attaque qui s'élargit à mesure que les équipes adoptent des outils IA tiers. Ces outils demandent régulièrement des autorisations OAuth larges : lecture des emails, accès Drive, gestion des agendas. Une fois ces autorisations accordées, la sécurité de l'outil tiers devient aussi critique que celle de l'entreprise elle-même.
GitGuardian, qui a analysé l'incident, souligne que les variables d'environnement "non sensibles" contiennent souvent des informations exploitables : identifiants de services internes, configurations d'infrastructure, tokens d'API secondaires. La distinction "sensible / non sensible" repose sur une classification manuelle effectuée par les développeurs eux-mêmes. C'est précisément cette étape qui peut être sous-estimée dans le flux de travail quotidien.
La particularité de cette attaque est d'avoir contourné entièrement les défenses de Vercel en passant par un maillon faible de la chaîne : un outil tiers de confiance, légitime, mais insuffisamment cloisonné.
Ce que ça signifie pour vous
Si vous utilisez des outils IA connectés à votre compte professionnel Google ou Microsoft, auditez les autorisations OAuth que vous avez accordées. La plupart de ces services n'ont pas besoin d'un accès complet en lecture. Préférez des scopes restreints, révoquez les accès dormants et traitez chaque outil IA tiers comme un partenaire disposant d'un accès à vos données internes : c'est exactement ce qu'il est. Les équipes de sécurité gagnent aussi à inventorier ces autorisations avec la même rigueur qu'elles appliquent aux accès directs à l'infrastructure.
Sources : The Register · BleepingComputer · Vercel Security Bulletin · GitGuardian