Introduction
Dans cet article, je vais traiter d’une attaque qui gagne en popularité, l’attaque ciblant la chaîne d’approvisionnement, communément appelée Supply chain attack en anglais.
Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?
C’est une attaque qui cible un produit, ou un fournisseur d’une solution populaire afin d’infiltrer indirectement une cible précise. Cette méthode vise généralement à sélectionner un partenaire fiable ou une solution logicielle de confiance pour assurer le succès de son attaque.
Exemple concret / Cas réel
CCleaner : en juillet 2017, la populaire solution Windows utilisée pour faire du nettoyage système a été compromise par du code malveillant (un malware injecté dans les binaires signés et donc indétectable).
SolarWinds : entre septembre 2019 et décembre 2020, la solution populaire Orion du fournisseur SolarWinds a été compromise avec des Maj infectées par une backdoor déployée chez les utilisateurs finaux de cette solution.
XZ Utils : en février 2024, une backdoor a été introduite dans le paquet XZ Utils, un outil de compression populaire sur beaucoup de distributions Linux qui permettait de contourner l’authentification SSH, et ainsi de prendre accès à la machine à distance.
ArchLinux AUR : en juillet 2025 des paquets malveillants ont été déposés dans l’AUR (Arch User Repository) de la distribution open source Archlinux ciblant le navigateur Firefox et l’installation d’un RAT (Remote Administration Tool).
Logiciel Muse : en septembre 2025, ce logiciel du fournisseur Collins Aerospace a été compromis suite à une attaque de type ransomware, et comme la cible a été le fournisseur d’une solution logicielle utilisée par un grand nombre d’aéroports, il y a eu un effet domino entrainant une panne majeure.
Comment s’en protéger / Bonnes pratiques
Se protéger n’est pas aussi simple que cela peut sembler l’être. En effet, le mode de fonctionnement actuel souvent déployé lors de l’utilisation d’une solution SaaS est de faire confiance aveuglement au fournisseur.
Cette approche peut sembler légitime puisque finalement le fournisseur a passé toutes les étapes pour se conformer aux requis de conformité.
Mais finalement, même si le fournisseur a la responsabilité et l’odieux de s’assurer que son service SaaS est robuste et sécuritaire, le client final doit faire sa due diligence pour appliquer certains concepts qui peuvent faire la différence lors d’une attaque de ce type.
Il est recommandé de s’assurer de faire la gestion des tiers et des fournisseurs en continu mais aussi de s’assurer de valider, à l’aide de mécanismes,d’outils, l’intégrité des flux et/ou du code utilisé dans les différents pipelines CI\CD
Conclusion
Pour éviter le pire, il faut se préparer, développer des stratégies, mettre en place des mécanismes permettant de valider en tout temps que les flux utilisés pour répondre aux besoins d’affaires sont légitimes, intègres et sains.
Le concept du zéro trust prend ici tout son sens !!
Commentaires et Discussion
Partagez et discutez
💬 Je suis Yannick Vollenberg , si vous souhaitez participer à la discussion sur les réseaux sociaux. C'est le meilleur moyen de me faire part de vos commentaires et de partager l'article.