Faille de sécurité chez Vercel
Incident de sécurité Vercel d'avril 2026 : origine Context.ai, variables sensitive protégées, recommandations à appliquer immédiatement.
Après les react server components sur Next, c'est à Vercel de prendre une faille de sécurité.
Le timing est vraiment mauvais, attention à vos stacks si vous hébergez chez eux. J'ai une partie de ma stack là bas...
Vercel a déclaré un incident de sécurité impliquant un accès non autorisé à certains systèmes internes. L'attaque n'a pas démarré chez Vercel directement : elle provient de la compromission de Context.ai, un outil IA tiers utilisé par un employé.
L'attaquant a pivoté depuis ce tiers vers le compte Google Workspace de l'employé, puis vers l'environnement Vercel.
Vercel a engagé Mandiant (la filiale forensique de Google Cloud) et notifié les forces de l'ordre américaines.
OAuth compromis] --> B[Compte Google
Workspace employé] B --> C[Environnements
Vercel internes] C --> D[Variables d'env
non-sensitive lues] C -.bloqué.-x E[Variables marquées
'sensitive'] style E stroke:#0a0,stroke-dasharray: 5 5
Qui est impacté et quoi exactement ?
Seul un sous-ensemble limité de clients est concerné, et Vercel les a contactés directement. Si tu n'as rien reçu, tes credentials ne sont a priori pas touchés. Point clé sur la portée technique :
- ✅ Les variables marquées sensitive sont chiffrées côté Vercel : pas d'évidence qu'elles aient été lues
- ⚠️ Les variables non marquées sensitive (API keys, tokens, DB creds oubliés là) doivent être considérées comme potentiellement exposées
- 🔎 L'exfiltration complète est encore en cours d'évaluation
Les actions recommandées côté admin à faire dès maintenant, sans attendre d'être contacté :
- Passer en revue les activity logs du dashboard ou via CLI
- Rotation de toutes les variables d'env contenant des secrets non marqués sensitive
- Activer la feature sensitive environment variables pour la suite
- Vérifier les déploiements récents suspects et supprimer le moindre doute
- Passer la Deployment Protection au niveau Standard minimum, et rotate les tokens de bypass
- IOC Google Workspace admins : chercher l'app OAuth 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
Source : Vercel Knowledge Base — Security Bulletin (MAJ 19 avril 2026)
FAQ
Est-ce que mon projet Vercel est forcément compromis ?
Pas nécessairement. Vercel indique que seul un sous-ensemble limité de clients est concerné et les a contactés directement. Si tu n'as reçu aucune notification, tes credentials ne sont a priori pas exposés.
Quelle est la différence entre les variables "sensitive" et les autres ?
Les variables marquées comme sensitive sont chiffrées du côté de Vercel et n'ont apparemment pas été lues lors de l'incident. En revanche, les variables non marquées — comme des clés API ou des tokens laissés par défaut — doivent être considérées comme potentiellement compromises et rotées immédiatement.
Comment l'attaquant a-t-il pu accéder aux systèmes de Vercel ?
L'attaque n'a pas visé Vercel directement. Un outil IA tiers, Context.ai, a été compromis via OAuth, ce qui a permis à l'attaquant de prendre pied sur le compte Google Workspace d'un employé Vercel, puis de pivoter vers les environnements internes.
Qu'est-ce que je dois faire concrètement maintenant ?
Sans attendre d'être contacté, il faut passer en revue les activity logs, faire une rotation de toutes les variables d'environnement contenant des secrets non marqués sensitive, activer la protection sensitive environment variables, et s'assurer que la Deployment Protection est au moins au niveau Standard avec rotation des tokens de bypass.
Comment vérifier si l'application OAuth malveillante est présente dans mon Google Workspace ?
Les administrateurs Google Workspace doivent rechercher l'identifiant OAuth 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com dans la liste des applications tierces autorisées et le révoquer s'il est présent.
Alexandre P.
Développeur passionné depuis plus de 20 ans, j'ai une appétence particulière pour les défis techniques et changer de technologie ne me fait pas froid aux yeux.
