Attaque supply chain
Une attaque supply chain compromet un fournisseur, une dépendance ou un outil de build pour atteindre ses clients : un maillon piégé contamine tout l’aval.
Une attaque supply chain, ou attaque par la chaîne d’approvisionnement, ne vise pas directement sa cible finale : elle compromet un maillon amont, éditeur de logiciel, dépendance open source, outil de build, prestataire, dont la cible dépend. Le calcul de l’attaquant est simple, et redoutable : piéger un seul fournisseur, c’est atteindre d’un coup tous ses clients, avec le niveau de confiance qu’ils lui accordent.
Les précédents ont marqué l’industrie. SolarWinds en 2020, où une mise à jour signée et distribuée par l’éditeur lui-même embarquait une porte dérobée touchant des milliers d’organisations ; la porte dérobée découverte dans xz-utils en 2024, à quelques semaines d’atteindre les distributions Linux majeures ; et un flux continu de paquets npm ou PyPI compromis par typosquatting ou par vol de compte de mainteneur.
La défense se joue sur plusieurs plans : inventorier ses dépendances par la SCA et la SBOM, épingler les versions, vérifier la provenance des artefacts, et surveiller ses fournisseurs comme une extension de sa propre surface d’attaque. Notre page pilier sur les attaques supply chain fait le tour du sujet, et le module Supply Chain Security d’own2pwn surveille les dépendances réellement chargées par vos applications en production.