Skip to content
Chaîne d’approvisionnementContenu

Vercel : incident de sécurité confirmé après une revendication de fuite

Le 19 avril 2026, la plateforme cloud Vercel (créatrice de Next.js) a confirmé un incident de sécurité lié à la compromission d'un outil tiers, exposant des variables d'environnement non sensibles et un nombre limité de comptes clients.

Victime
Vercel

Le 19 avril 2026, Vercel — la plateforme cloud américaine à l'origine du framework Next.js, très utilisée dans l'écosystème JavaScript — a confirmé un incident de sécurité après que des acteurs malveillants ont prétendu vendre des données internes volées sur un forum cybercriminel.

L'enquête de Vercel, appuyée par des experts externes en réponse à incident et par Google Mandiant, a relié la compromission à une attaque de la chaîne d'approvisionnement. L'attaquant a d'abord accédé à Context.ai, un outil d'IA tiers utilisé par un employé de Vercel ; une infection par infostealer (signalée comme Lumma Stealer) sur la machine de cet employé en février 2026 a dérobé des identifiants, ensuite utilisés pour prendre le contrôle de son compte Google Workspace, puis de son compte Vercel et des systèmes internes. L'intrus est resté environ deux mois dans l'infrastructure avant d'être détecté, son activité étant concentrée sur l'énumération et le déchiffrement rapides de variables d'environnement.

Les données exposées concernaient principalement :

  • Des variables d'environnement non sensibles stockées sur Vercel et déchiffrables en clair (comme certaines clés d'API et identifiants de bases de données)
  • Un nombre limité de comptes clients, ainsi qu'un petit nombre de comptes supplémentaires compromis lors d'un incident antérieur et indépendant
  • Des identifiants clients, dont certains stockés sans chiffrement

Vercel n'a pas communiqué le nombre exact de clients touchés. À la suite de la fuite, des acteurs malveillants ont mis en vente une base de données Vercel (pour environ 2 M$ selon les revendications) sur BreachForums, en invoquant le nom de ShinyHunters, attribution toutefois contestée et non vérifiée. Les services sont restés opérationnels ; Vercel a notifié les clients concernés, recommandé la rotation prioritaire des variables d'environnement potentiellement exposées, confirmé que les paquets npm n'étaient pas affectés et déployé des renforcements de la gestion des variables d'environnement et des journaux d'activité. L'entreprise a également saisi les autorités.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/vercel-incident-de-securite-confirme-apres-une-revendication-de-fuite/
  2. vercel.comhttps://vercel.com/kb/bulletin/vercel-april-2026-security-incident
  3. techcrunch.comhttps://techcrunch.com/2026/04/23/vercel-says-some-of-its-customers-data-was-stolen-prior-to-its-recent-hack/
  4. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/

Incidents liés

Chaîne d’approvisionnementEn cours

Fuite revendiquée chez MaSalleDeSport - volume non précisé

Le 22 février 2026, un hacker se faisant appeler « 84City » a affirmé avoir compromis MaSalleDeSport, prestataire CRM et de gestion de plus de 2 000 salles de sport françaises (Basic-Fit, Fitness Park, ON AIR Fitness, L'Orange Bleue), exposant noms, téléphones, SMS et adresses de plus d'1 million de personnes potentielles.

Victim
MaSalleDeSport (Basic-Fit, Fitness Park..)
Chaîne d’approvisionnementContenu

Fuite chez Discord

Le 4 octobre 2025, Discord a révélé une fuite chez un prestataire tiers de support client, exposant des données de tickets de support et environ 70 000 photos de pièces d’identité (envoyées pour des recours de vérification d’âge), ainsi que noms, e-mails, adresses IP et informations de paiement partielles.

Victim
Discord
Records
70.0K