The Vercel breach: OAuth attack exposes risk in platform environment variables
Une application OAuth tierce (Context.ai) compromise via le malware Lumma Stealer a permis aux attaquants d'exfiltrer des tokens Google Workspace et d'accéder aux systèmes internes de Vercel sur une période d'environ deux mois à partir de février 2026, compromettant les variables d'environnement de certaines équipes clientes. L'impact a été amplifié par le modèle de Vercel où les variables non marquées comme sensibles étaient lisibles avec un accès interne, exposant des identifiants réutilisables vers de nombreux services en aval. Une notification publique d'OpenAI reçue le 10 avril a suggéré une exploitation avant la divulgation publique du 19 avril, soulignant la criticité de la latence entre détection et notification et la valeur des alertes de fuite de clés comme signaux d'alerte précoces. L'incident s'inscrit dans une vague convergente d'attaques visant les identifiants stockés par les développeurs (ex. LiteLLM, Axios) et illustre la nécessité de traiter les applications OAuth comme des fournisseurs, d'éliminer les secrets longue durée et de concevoir en supposant une compromission du fournisseur. Les recommandations pratiques incluent la rotation suivie du redéploiement des variables exposées, l'audit et la révocation des autorisations OAuth inutiles, la migration vers des gestionnaires de secrets avec injection à l'exécution, et l'application du principe de moindre privilège et de surveillance des accès anormaux.