5/5 - (3 votes)

Découverte d’une faille critique dans le service Google Cloud Build.

Le bogue de Google Cloud Build permet aux pirates de lancer des attaques sur la chaîne d’approvisionnement. Une faille critique de conception dans le service Google Cloud Build a été découverte par la société de sécurité cloud Orca Security. Elle peut permettre a un attaquant d’effectuer une élévation de privilèges. En effet, elle fournit un accès presque complet et non autorisé aux référentiels de code de Google Artifact Registry. Baptisée Bad.Build , cette faille pourrait permettre aux acteurs de la menace d’usurper l’identité du compte du service (CI/CD). Ce service assure l’intégration et la livraison continue géré par Google Cloud Build pour exécuter des appels d’API sur le registre d’artefacts et prend le contrôle des images d’application.

Cloud Build est un service qui exécute vos compilations sur l'infrastructure Google Cloud. Il peut importer un code source depuis plusieurs dépôts ou espaces de stockage dans le cloud, exécuter une compilation selon vos spécifications et produire des artefacts, tels que des conteneurs Docker ou des archives Java. Vous pouvez également utiliser Cloud Build pour protéger votre chaîne d'approvisionnement logicielle. Les fonctionnalités Cloud Build répondent aux exigences des niveaux d'approvisionnement des artefacts logiciels (SLSA) de la chaîne d'approvisionnement 3. Pour savoir comment protéger vos processus de compilation, consultez Protéger vos compilations. Il peut importer du code source à partir de Cloud Storage, Cloud Source Repositories, GitHub ou Bitbucket, exécuter une compilation conforme à vos spécifications et produire des artefacts tels que des conteneurs Docker ou des archives Java.


Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Ce mécanisme est utile pour lancer des processus sensibles, pouvant nécessiter des compétences particulières en administration système : par exemple lors d'une manipulation des partitions d'un disque dur, ou lors du lancement d'un nouveau service. L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité.


Le cloud computing, ou l’informatique en nuage ou nuagique ou encore l’infonuagique (au Québec), est l'exploitation de la puissance de calcul ou de stockage de serveurs informatiques distants par l'intermédiaire d'un réseau, généralement internet. Ces serveurs sont loués à la demande, le plus souvent par tranche d'utilisation selon des critères techniques (puissance, bande passante, etc.) mais également au forfait. Le cloud computing se caractérise par sa grande souplesse : selon le niveau de compétence de l'utilisateur client, il est possible de gérer soi-même son serveur ou de se contenter d'utiliser des applicatifs distants en mode SaaS. Selon la définition du National Institute of Standards and Technology (NIST), le cloud computing est l'accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables. Il s'agit donc d'une délocalisation de l'infrastructure informatique.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut