Vercel : incident de sécurité confirmé après une revendication de fuite
Le 19 avril 2026, la plateforme cloud Vercel (créatrice de Next.js) a confirmé un incident de sécurité lié à la compromission d'un outil tiers, exposant des variables d'environnement non sensibles et un nombre limité de comptes clients.
- Victime
- Vercel
Le 19 avril 2026, Vercel — la plateforme cloud américaine à l'origine du framework Next.js, très utilisée dans l'écosystème JavaScript — a confirmé un incident de sécurité après que des acteurs malveillants ont prétendu vendre des données internes volées sur un forum cybercriminel.
L'enquête de Vercel, appuyée par des experts externes en réponse à incident et par Google Mandiant, a relié la compromission à une attaque de la chaîne d'approvisionnement. L'attaquant a d'abord accédé à Context.ai, un outil d'IA tiers utilisé par un employé de Vercel ; une infection par infostealer (signalée comme Lumma Stealer) sur la machine de cet employé en février 2026 a dérobé des identifiants, ensuite utilisés pour prendre le contrôle de son compte Google Workspace, puis de son compte Vercel et des systèmes internes. L'intrus est resté environ deux mois dans l'infrastructure avant d'être détecté, son activité étant concentrée sur l'énumération et le déchiffrement rapides de variables d'environnement.
Les données exposées concernaient principalement :
- Des variables d'environnement non sensibles stockées sur Vercel et déchiffrables en clair (comme certaines clés d'API et identifiants de bases de données)
- Un nombre limité de comptes clients, ainsi qu'un petit nombre de comptes supplémentaires compromis lors d'un incident antérieur et indépendant
- Des identifiants clients, dont certains stockés sans chiffrement
Vercel n'a pas communiqué le nombre exact de clients touchés. À la suite de la fuite, des acteurs malveillants ont mis en vente une base de données Vercel (pour environ 2 M$ selon les revendications) sur BreachForums, en invoquant le nom de ShinyHunters, attribution toutefois contestée et non vérifiée. Les services sont restés opérationnels ; Vercel a notifié les clients concernés, recommandé la rotation prioritaire des variables d'environnement potentiellement exposées, confirmé que les paquets npm n'étaient pas affectés et déployé des renforcements de la gestion des variables d'environnement et des journaux d'activité. L'entreprise a également saisi les autorités.
Sources
- cyberattaque.orghttps://www.cyberattaque.org/vercel-incident-de-securite-confirme-apres-une-revendication-de-fuite/
- vercel.comhttps://vercel.com/kb/bulletin/vercel-april-2026-security-incident
- techcrunch.comhttps://techcrunch.com/2026/04/23/vercel-says-some-of-its-customers-data-was-stolen-prior-to-its-recent-hack/
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/