GitHub : la faille de sécurité qui coûte des milliards aux labos
Quand GitHub devient le talon d’Achille des géants pharmaceutiques
Le 16 juin 2026 restera gravé comme une date noire pour Novo Nordisk. Le fabricant danois d’Ozempic et Wegovy, ces médicaments star de la lutte contre le diabète et l’obésité, a vu plus d’un téraoctet de données sensibles fuiter après une faille de sécurité. Le coupable Un simple dépôt GitHub mal configuré, devenu la porte d’entrée d’un groupe d’extorsion. L’affaire rappelle, une fois de plus, que dans un monde où le code est roi, les négligences les plus banales peuvent coûter des fortunes.
Comment un outil aussi répandu que GitHub, utilisé par des millions de développeurs, peut-il se transformer en cheval de Troie pour des cybercriminels L’histoire est aussi simple que terrifiante. Novo Nordisk, comme tant d’autres entreprises, utilisait des dépôts publics ou mal sécurisés pour stocker des clés d’API, des identifiants ou des fragments de code sensibles. Des informations qui, une fois entre de mauvaises mains, permettent de s’infiltrer dans les systèmes internes comme dans du beurre. Les attaquants n’ont même pas eu besoin de recourir à des techniques sophistiquées ils ont simplement exploité des erreurs humaines, ces fameuses « low-hanging fruits » que les équipes de sécurité peinent trop souvent à éradiquer.
Ce qui rend cette affaire particulièrement inquiétante, c’est son échelle. Novo Nordisk n’est pas une startup lambda, mais un géant pharmaceutique dont les secrets valent de l’or. Les données volées pourraient inclure des protocoles de recherche, des informations sur les essais cliniques, voire des stratégies commerciales. Autant d’éléments qui, s’ils étaient rendus publics ou vendus au plus offrant, pourraient bouleverser des marchés entiers. L’industrie pharmaceutique, déjà sous pression entre régulations strictes et concurrence féroce, se retrouve ainsi en première ligne d’une cyberguerre dont elle n’a pas encore mesuré tous les dangers.
L’incident de Novo Nordisk n’est malheureusement pas isolé. Il s’inscrit dans une tendance plus large où les attaquants ciblent de plus en plus les maillons faibles des chaînes logicielles. Que ce soit via des failles OAuth, comme dans le cas récent de Klue et de sa plateforme de renseignement marché, ou par des accès compromis à des outils cloud comme Salesforce, les méthodes évoluent. Mais le principe reste le même exploiter la complexité croissante des infrastructures numériques pour y glisser des portes dérobées.
Face à cette menace, les entreprises n’ont d’autre choix que de durcir leurs pratiques. Cela passe par des audits réguliers des dépôts de code, l’adoption de politiques de « least privilege » pour les accès, ou encore l’utilisation d’outils de détection des fuites de données. Mais surtout, cela exige une prise de conscience collective. Dans un écosystème où le code est partout, la sécurité ne peut plus être une variable d’ajustement. Elle doit devenir une obsession.
Sources
Numerama Comment un simple accès GitHub a exposé les secrets du fabricant d’Ozempic
BleepingComputer Klue OAuth breach linked to ‘Icarus’ Salesforce data theft attacks
Partager cet article