8 min de lecture<\/p>\n
Le 19 mars 2026, le populaire scanner de vuln\u00e9rabilit\u00e9s Trivy est devenu lui-m\u00eame une cible d’attaque. 75 des 76 balises de version du d\u00e9p\u00f4t GitHub ont \u00e9t\u00e9 compromises, un binaire falsifi\u00e9 ayant vol\u00e9 des cl\u00e9s SSH, des identifiants cloud et des secrets Kubernetes depuis des pipelines CI\/CD. Cette attaque r\u00e9v\u00e8le un sch\u00e9ma qui s’accentue en 2026 : les attaquants ne visent plus les applications – ils ciblent d\u00e9sormais les outils cens\u00e9s les s\u00e9curiser.<\/strong><\/p>\n Selon le rapport de situation du BSI (Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 informatique) 2025, les attaques par cha\u00eene d’approvisionnement ont doubl\u00e9 en Allemagne. Le d\u00e9lai moyen de d\u00e9tection s’\u00e9l\u00e8ve \u00e0 287 jours<\/strong> – pr\u00e8s de dix mois durant lesquels du code compromis s\u2019ex\u00e9cute sans \u00eatre d\u00e9tect\u00e9 dans des environnements de production. Toute organisation d\u00e9veloppant, achetant ou exploitant des logiciels doit consid\u00e9rer sa propre cha\u00eene d’approvisionnement comme une surface d’attaque. Cet article montre, \u00e0 travers des cas r\u00e9cents, ce qui se produit, quels sch\u00e9mas se r\u00e9p\u00e8tent<\/a> – et quelles mesures concr\u00e8tes sont efficaces.<\/p>\n Trivy est l’un des scanners open source de vuln\u00e9rabilit\u00e9s les plus utilis\u00e9s dans le domaine DevSecOps. Il analyse les images de conteneurs, les syst\u00e8mes de fichiers et les mod\u00e8les IaC pour d\u00e9tecter les failles, et s’ex\u00e9cute dans des milliers de pipelines CI\/CD sous forme d’action GitHub. C’est pr\u00e9cis\u00e9ment l\u00e0 que les attaquants ont frapp\u00e9.<\/p>\n Le groupe \u00ab TeamPCP \u00bb a compromis fin f\u00e9vrier 2026 les identifiants des actions GitHub du projet Trivy. La premi\u00e8re r\u00e9action d’Aqua Security est rest\u00e9e incompl\u00e8te – la rotation des identifiants n’a pas couvert tous les acc\u00e8s. Le 19 mars a suivi la deuxi\u00e8me vague : 75 des 76 balises de version<\/strong> du d\u00e9p\u00f4t Le code infiltr\u00e9 fonctionnait en trois \u00e9tapes. Premi\u00e8rement : r\u00e9cup\u00e9ration des variables d’environnement et des identifiants depuis la m\u00e9moire du runner CI\/CD. Deuxi\u00e8mement : chiffrement des donn\u00e9es sensibles – cl\u00e9s SSH, identifiants cloud, jetons de base de donn\u00e9es, secrets Kubernetes<\/a>. Troisi\u00e8mement : exfiltration vers le domaine de typosquattage scan.aquasecurtiy[.]org – un nom de domaine d\u00e9lib\u00e9r\u00e9ment mal orthographi\u00e9.<\/p>\n L’ironie : un outil con\u00e7u pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s est devenu une vuln\u00e9rabilit\u00e9 en soi. Cette attaque aurait pu \u00eatre largement \u00e9vit\u00e9e gr\u00e2ce au pinnage bas\u00e9 sur le hachage SHA<\/strong> des actions GitHub. Toute personne ayant r\u00e9f\u00e9renc\u00e9 un hash de commit sp\u00e9cifique au lieu de trivy-action@v0.35.0 n’aurait pas \u00e9t\u00e9 affect\u00e9e par le \u00ab tag poisoning \u00bb.<\/p>\n Les attaques par cha\u00eene d’approvisionnement suivent de plus en plus un sch\u00e9ma pr\u00e9cis : construire la confiance, compromettre l’infrastructure, propager largement.<\/strong><\/p>\n L’exemple le plus frappant est la porte d\u00e9rob\u00e9e dans XZ-Utils<\/strong> de mars 2024 (CVE-2024-3094, CVSS 10,0). Un attaquant utilisant le pseudonyme \u00ab Jia Tan \u00bb a \u00e9tabli la confiance aupr\u00e8s du mainteneur de cette biblioth\u00e8que de compression largement r\u00e9pandue pendant trois ans. \u00c0 la fin, il a implant\u00e9 une porte d\u00e9rob\u00e9e permettant une ex\u00e9cution de code \u00e0 distance via OpenSSH – dans un composant pr\u00e9sent sur pratiquement tous les serveurs Linux. L’attaque a \u00e9t\u00e9 d\u00e9couverte par hasard : le d\u00e9veloppeur PostgreSQL Andres Freund a remarqu\u00e9 un ralentissement inhabituel lors des connexions SSH.<\/p>\n Dans l’attaque 3CX<\/strong> (mars 2023), Mandiant a document\u00e9 pour la premi\u00e8re fois une \u00ab double compromission de la cha\u00eene d’approvisionnement \u00bb : le groupe Lazarus a d’abord compromis le logiciel de trading X_Trader, infect\u00e9 via celui-ci un employ\u00e9 de 3CX, puis manipul\u00e9 les environnements de compilation. L’application de bureau sign\u00e9e<\/a> a \u00e9t\u00e9 distribu\u00e9e \u00e0 600 000 entreprises et 12 millions d’utilisateurs.<\/p>\n Le sch\u00e9ma commun \u00e0 ces trois cas : le vecteur d’attaque n’\u00e9tait pas l’application elle-m\u00eame, mais l’infrastructure derri\u00e8re celle-ci.<\/strong> Syst\u00e8mes de compilation, d\u00e9p\u00f4ts de code, registres de d\u00e9pendances. Toute organisation qui s\u00e9curise uniquement son application tout en accordant une confiance aveugle aux outils et d\u00e9pendances pr\u00e9sente une faille ouverte de plus en plus exploit\u00e9e. Gartner pr\u00e9voyait en 2022 que d’ici 2025, 45 % des organisations subiraient des attaques sur leur cha\u00eene d’approvisionnement logicielle. Un sondage BlackBerry de 2024 r\u00e9v\u00e8le : ce chiffre est d\u00e9j\u00e0 de 75 %.<\/p>\n \n\u00ab La gestion des risques li\u00e9s \u00e0 la cha\u00eene d’approvisionnement reste l’un des plus grands probl\u00e8mes pour les DSI. \u00bb Le rapport Sonatype State of Software Supply Chain 2024 documente une hausse de 156 % des paquets open source malveillants<\/strong> en comparaison annuelle. Depuis 2019, plus de 704 000 paquets malveillants ont \u00e9t\u00e9 identifi\u00e9s dans des registres comme npm, PyPI et Maven – dont plus de 512 000 rien qu’\u00e0 partir de novembre 2023.<\/p>\n Le rapport Synopsys OSSRA 2024 compl\u00e8te ces donn\u00e9es : 96 % des bases de code analys\u00e9es<\/strong> contiennent des composants open source. 84 % contiennent au moins une vuln\u00e9rabilit\u00e9 connue. 74 % contiennent des vuln\u00e9rabilit\u00e9s \u00e0 haut risque – une augmentation de 54 % par rapport \u00e0 l’ann\u00e9e pr\u00e9c\u00e9dente. Et 91 % utilisent des composants obsol\u00e8tes de dix versions ou plus.<\/p>\n S’ajoute un nouveau ph\u00e9nom\u00e8ne : le \u00ab slopsquatting \u00bb<\/strong> – les attaquants profitent de la tendance des assistants de code IA \u00e0 \u00ab halluciner \u00bb des noms de paquets inexistants. Ils enregistrent ces noms et y ins\u00e8rent du code malveillant. Lorsqu’un d\u00e9veloppeur adopte sans v\u00e9rification la suggestion de l’IA, le logiciel malveillant est automatiquement install\u00e9.<\/p>\n Le probl\u00e8me du \u00ab slopsquatting \u00bb est particuli\u00e8rement insidieux car il cro\u00eet avec la diffusion des assistants de codage IA. Selon ReversingLabs, 14 des 23 campagnes de logiciels malveillants li\u00e9s aux cryptomonnaies en 2024 ciblaient d\u00e9j\u00e0 des paquets npm. En septembre 2025, 20 paquets npm ont \u00e9t\u00e9 compromis, totalisant ensemble plus de deux milliards de t\u00e9l\u00e9chargements hebdomadaires. La surface d’attaque ne cro\u00eet donc pas de mani\u00e8re lin\u00e9aire – elle augmente avec chaque nouveau paquet install\u00e9 par un d\u00e9veloppeur, avec chaque nouvelle d\u00e9pendance automatiquement r\u00e9solue par un syst\u00e8me de compilation. Et selon Sonatype, dans 95 % des cas o\u00f9 les d\u00e9veloppeurs utilisent un composant vuln\u00e9rable, une version corrig\u00e9e existe d\u00e9j\u00e0. Le probl\u00e8me n’est pas la disponibilit\u00e9 des correctifs – c’est le manque d’attention port\u00e9 aux mises \u00e0 jour.<\/p>\n Les co\u00fbts sont mesurables : selon le rapport IBM Cost of a Data Breach 2024, le co\u00fbt moyen d’une violation de donn\u00e9es s’\u00e9l\u00e8ve \u00e0 4,88 millions de dollars<\/strong> – un record historique. Les compromissions de cha\u00eenes d’approvisionnement \u00e9taient l\u00e9g\u00e8rement sup\u00e9rieures selon les analyses IBM et constituaient le deuxi\u00e8me vecteur d’attaque le plus fr\u00e9quent.<\/p>\n Pour les entreprises allemandes, la situation s’aggrave en raison de deux \u00e9volutions parall\u00e8les. Premi\u00e8rement : le r\u00e8glement NIS2 rend la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement obligatoire pour environ 29 500 entreprises – y compris la responsabilit\u00e9 personnelle des dirigeants en cas de n\u00e9gligence. Deuxi\u00e8mement : la p\u00e9nurie de personnel qualifi\u00e9 en cybers\u00e9curit\u00e9 signifie que de nombreuses entreprises n’ont pas assez de ressources pour examiner syst\u00e9matiquement leurs d\u00e9pendances. Le BSI rapporte que 80 % des exploitants KRITIS ont bien mis en place des syst\u00e8mes de management de la s\u00e9curit\u00e9 de l’information – mais pr\u00e9sentent de graves lacunes en mati\u00e8re de gestion de la continuit\u00e9 d’activit\u00e9. Lorsqu’une d\u00e9pendance critique est compromise et qu’aucun plan de r\u00e9ponse aux incidents n’existe, les 287 jours jusqu’\u00e0 la d\u00e9tection s’av\u00e8rent particuli\u00e8rement douloureux.<\/p>\n La s\u00e9curit\u00e9 des entreprises repose majoritairement sur un mod\u00e8le qui ne couvre pas les attaques par cha\u00eene d’approvisionnement : protection du p\u00e9rim\u00e8tre, d\u00e9tection au niveau des terminaux, segmentation r\u00e9seau. Ces outils d\u00e9tectent les logiciels malveillants provenant de l’ext\u00e9rieur – mais pas le code malveillant introduit via des canaux de confiance.<\/p>\n Dans l’attaque sur Trivy, le code malveillant est arriv\u00e9 via un outil explicitement utilis\u00e9 comme mesure de s\u00e9curit\u00e9. Aucun antivirus n’aurait d\u00e9clench\u00e9 d’alerte, aucun journal de pare-feu n’aurait montr\u00e9 d’anomalie. L’attaque exploitait le pipeline CI\/CD normal – les m\u00eames chemins que ceux utilis\u00e9s pour la diffusion de code l\u00e9gitime. Pour les syst\u00e8mes de d\u00e9tection d’intrusion, tout semblait parfaitement normal.<\/p>\n C’est pourquoi les tests d’intrusion traditionnels \u00e9chouent \u00e9galement face aux risques li\u00e9s \u00e0 la cha\u00eene d’approvisionnement. Un test d’intrusion examine l’infrastructure propre \u00e0 l’entreprise – pas les syst\u00e8mes de compilation des projets open source utilis\u00e9s comme d\u00e9pendances. Et un audit de la base de code propre ne d\u00e9tectera pas une porte d\u00e9rob\u00e9e dans une d\u00e9pendance en amont nich\u00e9e 50 versions plus bas.<\/p>\n Ce dont on a besoin \u00e0 la place : un d\u00e9placement vers l’amont (Shift Left) dans la cha\u00eene d’approvisionnement<\/strong> – des contr\u00f4les de s\u00e9curit\u00e9 non plus seulement en fin de pipeline, mais sur chaque d\u00e9pendance individuelle. Cela signifie : chaque paquet est v\u00e9rifi\u00e9 d\u00e8s son int\u00e9gration dans la base de code, pas seulement au d\u00e9ploiement. Chaque action GitHub est verrouill\u00e9e par SHA, pas r\u00e9f\u00e9renc\u00e9e par balise. Et chaque processus de compilation est sign\u00e9 et v\u00e9rifi\u00e9 cryptographiquement – avant qu’un seul octet n’atteigne la production.<\/p>\n Le changement de paradigme<\/a> est comparable \u00e0 l’introduction de la confiance z\u00e9ro (Zero Trust) dans les r\u00e9seaux : non plus \u00ab tout ce qui est \u00e0 l’int\u00e9rieur du p\u00e9rim\u00e8tre est de confiance \u00bb, mais \u00ab rien n’est de confiance tant qu’il n’a pas \u00e9t\u00e9 v\u00e9rifi\u00e9 \u00bb – et cela inclut les propres outils de d\u00e9veloppement.<\/p>\n Le rapport de situation du BSI 2025 documente 119 nouvelles vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 par jour<\/strong> sur la p\u00e9riode analys\u00e9e – une hausse de 24 %. 461 fuites de donn\u00e9es avec des institutions allemandes comme victimes. Et 48 % des exploitants KRITIS ne disposent d’aucun syst\u00e8me de d\u00e9tection d’attaques.<\/p>\n L’acte europ\u00e9en sur la r\u00e9silience cybern\u00e9tique<\/strong> (en vigueur depuis le 10 d\u00e9cembre 2024) oblige tous les fabricants de produits contenant des \u00e9l\u00e9ments num\u00e9riques \u00e0 fournir une SBOM lisible par machine. Principales obligations \u00e0 partir du 11 d\u00e9cembre 2027, obligations de d\u00e9claration \u00e0 partir du 11 septembre 2026. Sanctions : jusqu’\u00e0 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel.<\/p>\n Le BSI a d\u00e9fini des exigences concr\u00e8tes pour la SBOM avec la norme TR-03183-2 (ao\u00fbt 2025). Formats recommand\u00e9s : SPDX et CycloneDX. Pour les entreprises r\u00e9gul\u00e9es par NIS2<\/a>, la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement fait d\u00e9j\u00e0 explicitement partie des exigences l\u00e9gales.<\/p>\n aux \u00c9tats-Unis, l’ordonnance ex\u00e9cutive 14028 de 2021 s’applique : tout fournisseur de logiciels livrant au gouvernement f\u00e9d\u00e9ral doit fournir une SBOM. La date limite de mise en \u0153uvre \u00e9tait septembre 2023. L’Europe suit avec le CRA – et va m\u00eame plus loin que la r\u00e9glementation am\u00e9ricaine avec les obligations de d\u00e9claration \u00e0 partir de septembre 2026. Pour les PME allemandes livrant \u00e0 la fois aux \u00c9tats-Unis et \u00e0 l’UE, cela signifie : la SBOM n’est pas optionnelle – c’est une condition d’acc\u00e8s au march\u00e9 des deux c\u00f4t\u00e9s de l’Atlantique.<\/p>\n La dimension financi\u00e8re est consid\u00e9rable : selon le rapport IBM Cost of a Data Breach 2024, le co\u00fbt moyen d’un incident li\u00e9 \u00e0 la cha\u00eene d’approvisionnement s’\u00e9l\u00e8ve \u00e0 pr\u00e8s de 5 millions de dollars<\/strong>. Pour une PME de 500 employ\u00e9s, cela peut menacer son existence – surtout si le d\u00e9lai de d\u00e9tection atteint pr\u00e8s de dix mois et que d’autres syst\u00e8mes sont compromis durant cette p\u00e9riode. S’ajoutent les cons\u00e9quences r\u00e9glementaires : sous NIS2, des amendes pouvant atteindre 10 millions d’euros et la responsabilit\u00e9 personnelle des dirigeants sont possibles en cas de s\u00e9curit\u00e9 insuffisante de la cha\u00eene d’approvisionnement. Avec le CRA, jusqu’\u00e0 15 millions d’euros suppl\u00e9mentaires peuvent \u00eatre ajout\u00e9s. Les co\u00fbts de pr\u00e9vention – outils SBOM, analyse des d\u00e9pendances, un demi-temps \u00e9quivalent pour la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement – se situent dans la fourchette des cinq chiffres par an. Le rapport entre investissement et dommage potentiel justifie chacune de ces mesures.<\/p>\n 1. Pinnage des d\u00e9pendances bas\u00e9 sur SHA.<\/strong> Plut\u00f4t que de r\u00e9f\u00e9rencer les actions GitHub par balise (@v1), verrouiller le hash de commit pr\u00e9cis. Les balises peuvent \u00eatre \u00e9cras\u00e9es, les hachages SHA non. L’attaque enti\u00e8re sur Trivy aurait \u00e9chou\u00e9.<\/p>\n 2. Cr\u00e9er et maintenir une SBOM.<\/strong> Celui qui ignore quelles d\u00e9pendances sont int\u00e9gr\u00e9es \u00e0 son logiciel ne peut pas r\u00e9agir \u00e0 la prochaine alerte CVE. Des outils comme Syft g\u00e9n\u00e8rent automatiquement des SBOM \u00e0 partir d’images de conteneurs.<\/p>\n 3. Mettre en \u0153uvre SLSA Niveau 2.<\/strong> Le cadre \u00ab Supply-chain Levels for Software Artifacts \u00bb garantit l’int\u00e9grit\u00e9 de la compilation. Le niveau 2 – provenance de compilation sign\u00e9e num\u00e9riquement – est atteignable en quelques semaines avec cosign et GitHub-OIDC.<\/p>\n 4. Analyse des d\u00e9pendances dans le pipeline CI\/CD.<\/strong> V\u00e9rification automatis\u00e9e de chaque d\u00e9pendance \u00e0 chaque compilation. Outils : Dependabot, Snyk, Grype. Aucun push sans contr\u00f4le de s\u00e9curit\u00e9 valid\u00e9.<\/p>\n 5. Signature de code avec Sigstore.<\/strong> Gratuit, open source, permet des signatures cryptographiques pour binaires et paquets. Les manipulations deviennent d\u00e9tectables.<\/p>\n 6. \u00c9valuation r\u00e9guli\u00e8re des risques fournisseurs.<\/strong> Ne pas seulement examiner son propre logiciel – mais aussi les fournisseurs<\/a>. Celui qui utilise un scanner de vuln\u00e9rabilit\u00e9s doit savoir si son pipeline CI\/CD est s\u00e9curis\u00e9.<\/p>\n La combinaison de ces six mesures constitue le minimum requis pour une s\u00e9curit\u00e9 robuste de la cha\u00eene d’approvisionnement. Aucune mesure isol\u00e9e ne suffit. Le pinnage SHA sans analyse de d\u00e9pendances ne d\u00e9tecte pas les vuln\u00e9rabilit\u00e9s connues. Une SBOM sans \u00e9valuation fournisseur montre les d\u00e9pendances internes, mais pas leur niveau de s\u00e9curit\u00e9. Et la signature de code sans SLSA prouve seulement qui a sign\u00e9 – pas si le processus de compilation \u00e9tait propre. La force r\u00e9side dans la combinaison : transparence (SBOM), int\u00e9grit\u00e9 (SLSA + signature), v\u00e9rification (analyse + \u00e9valuation) et renforcement (pinnage).<\/p>\n Le point d\u00e9cisif : la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement n’est pas un projet qu’on termine une fois pour toutes. C’est un processus continu \u00e0 int\u00e9grer dans chaque compilation, chaque d\u00e9ploiement et chaque d\u00e9cision d’achat. L’attaque sur Trivy a montr\u00e9 que m\u00eame les outils cens\u00e9s garantir la s\u00e9curit\u00e9 peuvent \u00eatre compromis. Celui qui a compris cela ne construit pas sa d\u00e9fense sur la confiance – mais sur la v\u00e9rification.<\/p>\n \n\u00ab Les attaques contre la cha\u00eene d’approvisionnement logicielle de notre infrastructure ICT mondiale deviennent plus fr\u00e9quentes, plus agressives et plus dommageables. \u00bb La le\u00e7on de 2024, 2025 et du premier trimestre 2026 est claire : les cha\u00eenes d’approvisionnement logicielles sont la nouvelle principale surface d’attaque. Celui qui les ignore repose sur la confiance dans un monde qui exige la v\u00e9rification. Le cas Trivy est particuli\u00e8rement instructif – non pas parce qu’il \u00e9tait techniquement nouveau, mais parce qu’il montre que m\u00eame les outils de d\u00e9fense eux-m\u00eames sont vuln\u00e9rables. La r\u00e9ponse n’est pas la m\u00e9fiance envers l’open source. C’est la v\u00e9rification syst\u00e9matique : chaque d\u00e9pendance v\u00e9rifi\u00e9e, chaque compilation sign\u00e9e, chaque modification tra\u00e7able. C’est fastidieux. Mais l’alternative – 287 jours avec du code compromis en production – l’est nettement plus.<\/p>\n En mars 2026, le groupe TeamPCP a compromis le scanner open source de vuln\u00e9rabilit\u00e9s Trivy d’Aqua Security. 75 des 76 balises de version du d\u00e9p\u00f4t GitHub ont \u00e9t\u00e9 redirig\u00e9es vers du code malveillant. Le code infiltr\u00e9 a vol\u00e9 des secrets CI\/CD comme les cl\u00e9s SSH, les identifiants cloud et les jetons Kubernetes.<\/p>\n Une Software Bill of Materials est une nomenclature lisible par machine de tous les composants logiciels d’un produit. L’acte europ\u00e9en sur la r\u00e9silience cybern\u00e9tique la rend obligatoire \u00e0 partir de d\u00e9cembre 2027. Les formats courants sont CycloneDX et SPDX.<\/p>\n Les mesures les plus importantes : pinnage bas\u00e9 sur SHA des d\u00e9pendances, analyse automatis\u00e9e des d\u00e9pendances dans le pipeline CI\/CD, cr\u00e9ation et maintenance d’une SBOM, signature de code avec Sigstore et \u00e9valuation r\u00e9guli\u00e8re des risques fournisseurs.<\/p>\n Plut\u00f4t que de r\u00e9f\u00e9rencer une action GitHub par balise de version (ex. @v1), utiliser le hash de commit pr\u00e9cis. Les balises peuvent \u00eatre \u00e9cras\u00e9es par des attaquants, les hachages SHA non.<\/p>\n Selon le rapport de situation du BSI 2025, le d\u00e9lai moyen de d\u00e9tection est de 287 jours. Pour la porte d\u00e9rob\u00e9e XZ-Utils, la phase de pr\u00e9paration a dur\u00e9 trois ans.<\/p>\n Toute entreprise utilisant ou exploitant des logiciels. Particuli\u00e8rement expos\u00e9es : les entreprises r\u00e9gul\u00e9es par NIS2 (environ 29 500 en Allemagne) et les exploitants KRITIS.<\/p>\n Supply-chain Levels for Software Artifacts – un mod\u00e8le en niveaux pour l’int\u00e9grit\u00e9 de la compilation. Le niveau 2 peut \u00eatre mis en \u0153uvre en quelques semaines avec cosign et GitHub-OIDC.<\/p>\n Source de l’image : Pexels \/ Tima Miroshnichenko (px:5380603)<\/p>\n","protected":false},"excerpt":{"rendered":"8 min de lecture Le 19 mars 2026, le populaire scanner de vuln\u00e9rabilit\u00e9s Trivy est devenu lui-m\u00eame une cible d’attaque. 75 des 76 balises de version du d\u00e9p\u00f4t GitHub ont \u00e9t\u00e9 compromises, un binaire falsifi\u00e9 ayant vol\u00e9 des cl\u00e9s SSH, des identifiants cloud et des secrets Kubernetes depuis des pipelines CI\/CD. Cette attaque r\u00e9v\u00e8le un […]","protected":false},"author":55,"featured_media":5568,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"attaque par cha\u00eene","_yoast_wpseo_title":"","_yoast_wpseo_metadesc":"Attaque Trivy : d\u00e9couvrez comment l'outil de s\u00e9curit\u00e9 a \u00e9t\u00e9 d\u00e9tourn\u00e9 et prot\u00e9gez vos syst\u00e8mes d\u00e8s maintenant.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":"","_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":"","footnotes":""},"categories":[252],"tags":[],"class_list":["post-8598","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"wpml_language":"fr","wpml_translation_of":5569,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8598","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=8598"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8598\/revisions"}],"predecessor-version":[{"id":10556,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8598\/revisions\/10556"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5568"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=8598"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=8598"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=8598"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}L’essentiel<\/h2>\n
\n
L’attaque sur Trivy : quand le scanner devient un cheval de Troie<\/h2>\n
aquasecurity\/trivy-action<\/code> ont \u00e9t\u00e9 redirig\u00e9es vers du code malveillant par un \u00ab force-push \u00bb. Les sept balises du d\u00e9p\u00f4t aquasecurity\/setup-trivy<\/code> \u00e9taient \u00e9galement affect\u00e9es.<\/p>\nLe sch\u00e9ma : XZ Utils, 3CX et la strat\u00e9gie \u00e0 long terme<\/h2>\n
\n– Philip Reitinger, PDG de Global Cyber Alliance, selon (SecurityWeek Cyber Insights 2024)<\/cite>\n<\/p><\/blockquote>\nLes chiffres : pourquoi le probl\u00e8me cro\u00eet de mani\u00e8re exponentielle<\/h2>\n
Pourquoi les outils de s\u00e9curit\u00e9 classiques ne suffisent pas<\/h2>\n
Allemagne : 119 vuln\u00e9rabilit\u00e9s par jour et l’obligation de SBOM<\/h2>\n
Ce qui prot\u00e8ge concr\u00e8tement : six mesures \u00e9prouv\u00e9es<\/h2>\n
\n– CISA, Defending Against Software Supply Chain Attacks, selon<\/cite>\n<\/p><\/blockquote>\nQuestions fr\u00e9quentes<\/h2>\n
Qu’\u00e9tait l’attaque par cha\u00eene d’approvisionnement sur Trivy ?<\/h3>\n
Qu’est-ce qu’une SBOM et pourquoi devient-elle obligatoire ?<\/h3>\n
Comment se prot\u00e9ger contre les attaques par cha\u00eene d’approvisionnement ?<\/h3>\n
Qu’est-ce que le pinnage bas\u00e9 sur SHA ?<\/h3>\n
Combien de temps les attaques par cha\u00eene d’approvisionnement restent-elles ind\u00e9tect\u00e9es ?<\/h3>\n
Quelles entreprises allemandes sont concern\u00e9es ?<\/h3>\n
Qu’est-ce que SLSA ?<\/h3>\n
Lectures recommand\u00e9es par la r\u00e9daction<\/h2>\n
\n
Plus d’informations depuis le r\u00e9seau MBF Media<\/h2>\n
\n