Introduction
Une attaque de la chaîne d'approvisionnement logicielle, où des hackers corrompent un logiciel légitime pour y cacher leur propre code malveillant, était autrefois un événement rare mais qui hantait le monde de la cybersécurité avec sa menace insidieuse de transformer n'importe quelle application innocente en un point d'ancrage dangereux dans le réseau d'une victime.
Contexte Technique
Un groupe de cybercriminels, connu sous le nom de TeamPCP, a corrompu des centaines d'outils open source, extorquant des victimes pour en tirer profit et semant un nouveau niveau de méfiance dans un écosystème entier utilisé pour créer les logiciels du monde.
La plateforme de code open source GitHub a annoncé qu'elle avait été victime d'une telle attaque : un développeur de GitHub avait installé une extension « empoisonnée » pour VSCode, un plug-in pour un éditeur de code couramment utilisé qui, comme GitHub lui-même, est détenu par Microsoft.
Analyse et Implications
Les hackers derrière la faille, TeamPCP, affirment avoir accédé à environ 4 000 référentiels de code de GitHub. La déclaration de GitHub a confirmé qu'elle avait trouvé au moins 3 800 référentiels compromis, notant que, sur la base de ses constatations jusqu'à présent, ils contenaient tous du code de GitHub lui-même, et non celui des clients.
La faille de GitHub est le dernier incident d'une série sans fin d'attaques de la chaîne d'approvisionnement logicielle, avec plus de 500 pièces distinctes de logiciels corrompues et plus d'un millier de versions de code détournées par TeamPCP.
Perspective
Il est essentiel de surveiller de près les développements futurs, car les attaques de la chaîne d'approvisionnement logicielle peuvent avoir des conséquences graves et à long terme pour la sécurité des logiciels et des réseaux.
