Supply Chain Attacks 2.0 : quand nos dépendances deviennent des armes

🚨 Pourquoi

Les attaquants ne se contentent plus d’empoisonner les bibliothèques open source publiques (npm, PyPI, Maven…).
Ils ciblent désormais les dépendances internes : bibliothèques maison, artefacts stockés dans Nexus/Artifactory, voire les pipelines CI/CD eux-mêmes.

🎯 Objectif : introduire du code malveillant dans les livrables finaux, sans être détectés.

🔎 Analyse

• Typosquatting interne : un package nommé auth-utils remplacé par auth-util.
• Artefacts compromis : modification furtive d’un binaire stocké en interne.
• Pipeline sous contrôle : un attaquant injecte du code directement lors du build.

➡️ Ces attaques sont redoutables car elles exploitent notre confiance dans nos propres outils.
Elles sont difficiles à détecter et peuvent impacter des centaines de projets d’un coup.

✅ Bonnes pratiques

Pour réduire le risque :

• Générez un SBOM (Software Bill of Materials) pour chaque projet → visibilité complète des dépendances.
• Appliquez SLSA (Supply-chain Levels for Software Artifacts) pour sécuriser vos pipelines.
• Surveillez vos dépôts internes (Nexus, Artifactory…) : signatures, intégrité, contrôles d’accès.
• Audit régulier des pipelines CI/CD : droits limités, étapes signées, logs tracés.
• Formation continue des équipes dev : sensibilisation aux risques et bonnes pratiques.
• Utilisez des outils de vérification comme OWASP Dependancy-Tracker .

🧪 Quelques Exemples d’Attaques

Matrice Contrôles Défensifs

📚 Références

• OWASP Dependency-Track
• SLSA – Supply Chain Security Framework
• NIST Software Supply Chain Security
• Snyk – Open Source Security
• ANSSI – Sécuriser la chaîne logistique - Exemples de scénarios
• ANSSI – Supply Chain Attacks: Threats Targeting Service Providers and Design Offices