Tes pipelines sont-ils sécurisés ou minent-ils du crypto en douce?

 

En parlant de DevSecOps, vos pipelines sont-ils sécurisés ou produisent-ils des cryptomonnaies illicites?

 Pourquoi la ruée vers l’or CI/CD cible maintenant vos cycles CPU

Au cours des dernières années, les malautrus sont passés de la destruction des vitrines aux caisses enregistreuses. La saveur du "digital skimming" de 2025 est le cryptojacking dans les outils DevOps. Une campagne récemment documentée, dont le nom de code est JINX-0132, analyse Internet à la recherche de grappes HashiCorp Nomad / Consul auto-hébergées, d’API Docker et d’alternatives légères à Git telles que Gitea, s’insère, ou parfois utilise simplement les informations d’identification par défaut, et fait tourner des mineurs XMRig dans vos propres processus CI/CD. Les escrocs exfiltrent le Monero; Vous payez la facture du nuage. Bref, ouch.

Deux faits inconfortables ressortent :

• 25% des environnements infonuagiques exécutent au moins un de ces quatre outils.
• 30% de ces cas sont mal configurés et 5% sont largement ouverts à l’Internet public. (wiz.io, theregister.com)

Cette intersection de popularité et de mauvaise configuration explique pourquoi les plateformes DevOps ont dépassé les serveurs Web sur les listes d’épicerie des attaquants.

Anatomie du manuel JINX-0132 :

La campagne est élégante dans sa banalité :

Étape	PTT en langage clair
Reconnaissance	Shodan & Censys balaient les ports par défaut (4646 Nomad, 8300 Consul, 2375 Docker, 3000 Gitea)
Accès initial	Autorisations par défaut, ACL faibles ou le faux pas "tout lier à 0.0.0.0 " dans les laboratoires de conteneurs.
Persévérance	Ajoute une tâche de service/réplication à l’intérieur de Nomad (ou une unité systemd à l’intérieur de l’hôte du conteneur)
Exécution	Planter une image alpine minimale contenant xmrig ou cpuminer
Évasion	limites du processeur imitent les pics de construction normaux; le binaire du mineur est nommé agent-runner ou cache-worker
Encaissement	adresses de paiement changent chaque semaine; trafic proxy sur Cloudflare Workers

À retenir : les attaquants n’ont jamais besoin d’un zero-day dans la chaîne d’approvisionnement: une mauvaise configuration suffit. Ils comptent sur les opérateurs qui acceptent des flux de réseau "bruyants" marqués « DEV/OPS: trusted » sans mettre de contrôles entre les deux. (Rappelez vous du Zero Trust!)

 À quel point sommes-nous exposés? (Graphique et chiffres)

Le graphique ci-dessus visualise la télémétrie sur le terrain de Wiz sur 45 000 comptes cloud échantillonnés en mai 2025. En mots :

• 1 domaine cloud sur 4 a au moins un nœud Nomad/Consul/Docker-API/Gitea.
• Près d’un tiers de ces nœuds manquent des étapes critiques de durcissement (TLS désactivé, authentification anonyme activée).
• 1 sur 20 est publique.
• Indépendamment de l’exposition, 20% des successions font appel à des agents Consul qu’ils ont oubliés il y a des années. (wiz.io)

Ops déjà-vu : ces pourcentages reflètent le problème de Kubernetes non sécurisé de 2017. L’histoire se répète, d’abord sous forme de capsules, puis de pipelines. 

Pourquoi les pipelines font des cryptomonnaies parfaites

Les attaquants aiment : le calcul persistant + l’Internet sortant + les pics de charge prévisibles :

1. Autoscale est leur alimentation gratuite. Les agents de construction natifs du cloud évoluent pour les fusions lourdes et restent inactifs sinon; Les cryptomineurs maximisent ces temps d’arrêt.
2. Les caches de construction contournent les filtres de sortie. Les magasins d’artefacts (NuGet, npm, Maven) communiquent déjà avec le monde extérieur; glisser dans un tunnel DNS sur HTTPS supplémentaire est trivial.
3. Les secrets sont partout. Les PAT Github, les registres de conteneurs et les créances de bases de données se trouvent à l’intérieur de variables, le gros lot du mouvement latéral.
4. "Temporaire" signifie souvent "jamais mis hors service". Un coureur de validation de concept préparé pour un sprint devient un mineur zombie le trimestre suivant. (techradar.com, binance.com) 

Un plan de renforcement DevSecOps (axé sur les personnes, agnostique en matière d’outils!)

Changement d’état d’esprit : DevSecOps n’est pas "DevOps + un travail antivirus". C’est DevOps bien fait, où chaque étape du pipeline comporte un gardien de politique, une gouvernance et chaque examen de fusion (pull request review) comprend des critères d’acceptation de sécurité.

Gains rapides (≤ 1 heure chacun, dépendant de vos aptitudes techniques)

• Fermer le plan de gestion : lier les écouteurs Nomad/Consul à 127.0.0.1; front avec NGINX + mutuelle-TLS.
• Activer les images "signées" : appliquez Docker Content Trust ou Notary v2 pour que les couches malveillantes échouent à l’extraction.
• Limiter le débit des nouveaux exécuteurs : nécessite l’approbation humaine (ou une barre oblique ChatOps) avant de mettre à l’échelle automatiquement > N nœuds.

Effort moyen (1-2 jours)

• Analyse des secrets à gauche (shift left): intégrez TruffleHog ou Microsoft CredScan dans les vérifications de demande d’extraction; échouez rapidement, GitOps security scans ou encore SonarQube.
• Politique en tant que code : adopter les règles Open Policy Agent (OPA) ou HashiCorp Sentinel dans Terraform/Terragrunt; interdire les variables d’environnement 0.0.0.0/0 et en texte brut.
• Images de build immuables : maintenez des pipelines d’images dorées (Golden): (Packer, Azure Image Builder) qui se reconstruisent chaque semaine avec des références de système d’exploitation corrigées.

Mouvements stratégiques (ce trimestre)

• Modélisez votre pipeline comme une application. Documentez les flux de données, les limites de confiance et les cas d’abus, puis équipez-les en rouge.
• Adoptez l’attestation jusqu’à l’artefact. Fulcio + Rekor de Sigstore peut vérifier que le binaire dans prod a bien été construit par GitHub Actions Job 123.
• Rendez la propriété des opérations explicite. Une formation sur "The Big DevSecOps Change" aide les équipes à considérer la sécurité comme une caractéristique de fiabilité partagée, et non comme une porte externe.

Appel à l’action : transformez les mineurs en mentors

Aucun RSSI ne veut faire les manchettes du lundi matin sur "Une ferme de cryptomonnaies accidentelle repérée dans l’IC du client". Pourtant, la solution est rarement un autre scanner; c’est la discipline dans la configuration et la sécurité psychologique pour signaler les mauvais défauts de paiement.

1. Demandez à votre pipeline : "Si un stagiaire peut lancer un prototype, un attaquant peut-il le faire?"
2. Budget 10% de capacité de sprint pour des histoires de reduction de la dette : traitez-les comme du boulot de fonctionnalités.
3. Célébrer la sécurité fusionnée de la même manière que vous célébrez les gains de performance. La culture est cumulative.

TL; DR : Les outils DevOps que vous aimez impriment peut-être déjà de l’argent pour quelqu’un d’autre. Renforcez-les, surveillez-les et permettez le "grand changement DevSecOps" sonner vrai : sécurisé par défaut, collaboratif par conception, élaboré pour l'humain.

Lectures complémentaires

• Wiz Blog :  Outils DevOps ciblés pour le cryptojacking (2025-06-02) (wiz.io)
• The Register :  Crypto-mineurs illicites qui se jettent sur des outils DevOps non sécurisés (2025-06-03) (theregister.com)
• TechRadar :  Outils DevOps publics ciblés par des criminels pour voler des cryptomonnaies (2025-06-05) (techradar.com)