Les pirates du groupe Coinbase Cartel sont parvenus à compromettre le compte GitHub de Grafana Labs après avoir volé un jeton d’accès. Voici ce que l’on sait sur cette cyberattaque.

Un jeton GitHub compromis à l’origine de l’incident

Grafana Labs, c’est l’entreprise derrière la célèbre plateforme de visualisation de données Grafana, que vous connaissez probablement. Il s’agit d’une solution mondialement connue et utilisée par de nombreuses entreprises, y compris des entreprises du Fortune 50 et des fournisseurs Cloud.

Le 17 mai 2026, Grafana Labs a révélé avoir été victime d’une cyberattaque suite à la compromission d’un jeton d’accès GitHub. Il a permis aux attaquants de s’introduire dans le dépôt de Grafana et de mettre la main sur la codebase. Vous allez me dire : Grafana est une solution open source, donc quel est l’intérêt de voler un code source déjà disponible à tous sur GitHub ?

Ici, on parle de la codebase, donc c’est plus vaste. Il pourrait y avoir des dépôts privés / internes, des scripts de build ou encore du code source pas encore mis à disposition des versions accessibles publiquement. Dans tous les cas, cet incident de sécurité semble se limiter à ce vol de données sur GitHub.

Grafana Labs se veut d’ailleurs rassurant sur l’impact de cet incident : aucune donnée client ni aucune information personnelle n’a été exposée, et les systèmes de ses clients n’ont pas été affectés.

Grafana refuse de financer la cybercriminalité

L’attaque a été revendiquée par Coinbase Cartel, un groupe de cybercriminels qui a ajouté Grafana à son portail d’extorsion. Leur objectif était simple : exiger le paiement d’une rançon de la part de Grafana en menaçant de publier publiquement le code source volé. Ce qui prouve qu’ils ont pu voler du code non accessible dans les dépôts publics, sinon cela n’aurait pas d’intérêt.

Suite à cette sollicitation des pirates, Grafana Labs a pris la bonne décision : ne pas payer cette rançon. “En nous basant sur notre expérience opérationnelle et sur la position publiée du FBI, qui souligne que payer une rançon ne garantit en rien que vous ou votre organisation récupérerez des données et ne fait qu’offrir une incitation à d’autres de s’impliquer dans ce type d’activité illégale, nous avons déterminé que la voie à suivre appropriée est de ne pas payer la rançon.”, peut-on lire sur X.

Mais qui se cache derrière Coinbase Cartel ? Lancé en septembre dernier, ce groupe d’extorsion affiche une activité particulièrement intense cette année, avec plus de 100 victimes revendiquées sur son portail. Ce groupe semble particulièrement actif, même s’il ne fait pas autant parler de lui que d’autres groupes comme TeamPCP ou ShinyHunters.

Enfin, sachez que l’enquête post-incident suit toujours son cours et Grafana prévoit de partager davantage de détails techniques une fois celle-ci terminée.