Vercel révèle un incident de sécurité survenu en avril 2026 (accès non autorisé à des systèmes internes)

 (vercel.com)
2 points par princox 2026-04-20 | 4 commentaires | Partager sur WhatsApp

Vercel a officiellement révélé un incident de sécurité survenu en avril 2026, impliquant un accès non autorisé (unauthorized access) à certains systèmes internes.
L’incident fait actuellement l’objet d’une enquête ; l’entreprise répond à la situation avec l’aide d’experts externes en sécurité, et les autorités compétentes ont également été informées.

Étendue de l’impact

  • L’impact est limité à « certains clients restreints », et non à l’ensemble des clients
  • Vercel traite directement avec ces clients au cas par cas
  • Les services de la plateforme eux-mêmes continuent de fonctionner normalement

👉 Autrement dit, il s’agit moins d’une « panne majeure de service » que d’un incident de compromission de systèmes internes avec un impact client limité.

Situation actuelle de la réponse à l’incident

Résumé de la réponse de Vercel :

  • ouverture immédiate d’une enquête après la détection de l’incident
  • mobilisation d’experts externes en incident response
  • notification aux autorités compétentes
  • mises à jour à venir

Mesures recommandées aux utilisateurs

Vercel recommande à tous les utilisateurs de :

  • vérifier les variables d’environnement (environment variables)
  • utiliser les fonctions de protection des informations sensibles (sensitive env vars)

👉 Compte tenu de la nature de Vercel, les variables d’environnement contiennent souvent des clés API, des tokens, etc. ; la gestion des secrets devient donc le principal point de risque.

Contexte : évolution récente de la sécurité chez Vercel

Cet incident ne semble pas être un événement isolé, mais s’inscrit dans une série récente de problèmes de sécurité dans l’écosystème Vercel :

  • découverte continue de vulnérabilités liées à React / Next.js (DoS, contournement de l’authentification, etc.)
  • tentatives d’attaque à grande échelle comme React2Shell (à hauteur de plusieurs millions d’occurrences)
  • hausse des cas de phishing et de diffusion de malwares utilisant des domaines Vercel

👉 En résumé, « le framework + la plateforme + l’ensemble de l’écosystème développeur constituent la surface d’attaque ».

Points clés à retenir

  • un accès non autorisé à des systèmes internes a eu lieu
  • l’impact concerne une partie limitée de certains clients
  • les services fonctionnent normalement
  • l’enquête est en cours avec l’appui d’experts externes
  • côté utilisateurs, une vérification de la sécurité des variables d’environnement est indispensable

Résumé en une phrase

👉 « Les systèmes internes de Vercel ont été compromis, mais l’impact reste limité et l’enquête ainsi que la réponse à l’incident sont en cours — la sécurité des variables d’environnement apparaît toutefois comme le principal risque. »

À lire aussi

4 commentaires

 
iiiiiiiiiiiii 2026-04-21

J’ai l’impression que Next.js devient un framework trop spécifique à Vercel, donc je suis passé à RRV7 dès sa sortie, mais j’espère quand même que tout se passera bien.
 
slowandsnow 2026-04-21

Pour les principaux frameworks web, Vercel n’offre-t-il pas globalement le moins bon support ? Même avec rr7.
 
iiiiiiiiiiiii 2026-04-21

Et c’est peut-être juste une préférence personnelle, mais comme je n’aime pas être lié à une seule plateforme, j’essaie de pouvoir déployer partout où c’est possible : GCP, AWS, Vercel, CF.
 
princox 2026-04-20

id
name
displayName
email
active
admin
guest
timezone
createdAt
updatedAt
lastSeen

Il paraît que des données ainsi que des clés API, comme des tokens npm ou GitHub, ont également fuité. Apparemment, des revendeurs de données sont apparus.