Note de veille AGCG – Quand la chaîne de développement devient la première surface d’attaque.
Thématique : Supply chain logicielle, DevSecOps, sécurité CI/CD
Cabinet : AGCG Genuine Consulting Group
Les attaques supply chain / CI/CD ne sont plus des événements exceptionnels : elles deviennent un mécanisme standard pour compromettre des milliers de systèmes en une seule opération.
Pour les attaquants, compromettre la chaîne qui produit le logiciel est souvent plus efficace que cibler chaque application individuellement.
Depuis SolarWinds, Codecov, 3CX ou encore la compromission de dépendances open source à large diffusion (Log4j, XZ Utils), les attaques supply chain ne sont plus des anomalies, mais un mode d’action établi. Les attaquants ont compris qu’il est souvent plus efficace de compromettre le système qui produit et distribue le logiciel… que le logiciel lui-même.
Les environnements DevOps et CI/CD concentrent aujourd’hui une partie critique du patrimoine de l’entreprise : code source, secrets, accès à la production, intégrations SaaS, images conteneurs, pipelines d’industrialisation. Ce sont devenus des cibles de premier plan.
Une application moderne repose majoritairement sur des briques open source (librairies, frameworks, outils). Les attaquants ciblent désormais les mainteneurs, les packages populaires, les dépôts abandonnés, et exploitent les mises à jour automatiques pour se propager silencieusement.
Les pipelines contiennent tout ce dont un attaquant rêve : tokens, clés SSH, secrets applicatifs, accès aux registres et clusters, droits sur les environnements de recette et de production. Dans de nombreuses organisations, ces pipelines sont insuffisamment isolés, faiblement journalisés et rarement audités sous l’angle sécurité.
Les attaques par “dependency confusion” exploitent le fait que des applications internes utilisent des noms de packages identiques à ceux de registres publics. En publiant un package malveillant avec la même référence sur un registre public, l’attaquant peut forcer les pipelines mal configurés à consommer la version compromise.
GitHub, GitLab, Jira, CircleCI, SonarQube, Artifactory, registries Cloud, plateformes de test… L’écosystème d’outils interconnectés explose. Chaque intégration ajoute une surface d’attaque, surtout lorsque l’authentification est faible, les permissions trop larges et les logs incomplets.
Les attaquants publient des packages malveillants sur des registres publics (npm, PyPI, RubyGems, Maven Central, etc.). Ces packages embarquent du code visant à voler des secrets, exfiltrer du code source ou déployer du cryptominage.
En ciblant les runners, les hooks CI ou les jetons d’authentification, l’attaquant peut manipuler les étapes de build, insérer du code malveillant dans les binaires et récupérer des secrets ou des artefacts sensibles. Une fois le pipeline maîtrisé, il devient un vecteur de diffusion idéal.
Phishing ciblé, réutilisation de mots de passe, attaques sur les comptes personnels de développeurs contribuant à des projets critiques : une fois le compte compromis, l’attaquant peut pousser des versions malveillantes signées et légitimes dans des dépôts de confiance.
Les registres d’images contiennent les bases des conteneurs utilisés par des milliers d’applications. Une image compromise ou non maintenue peut propager des vulnérabilités massives dans tout l’écosystème.
Une chaîne CI/CD compromise ne se voit pas dans les tableaux de bord classiques : les applications continuent de se déployer, les tests passent, les pipelines “sont au vert”. Pourtant, le code produit peut être déjà modifié, instrumenté ou affaibli.
Une seule dépendance compromise peut toucher des milliers, voire des millions de systèmes. Une seule image conteneur vulnérable peut être déclinée dans des dizaines de micro-services et d’environnements clients.
Une attaque supply chain réussie remet en cause la confiance dans la chaîne de valeur entière : éditeur, intégrateur, opérateur, écosystème. Elle génère des impacts réglementaires, contractuels et réputationnels considérables, en particulier pour les acteurs SaaS.
Plusieurs cadres de référence convergent sur les mesures à mettre en œuvre : NIST SSDF, CISA Secure by Design & Secure CI/CD, OWASP SCVS, ainsi que les recommandations de GitHub Security Lab ou de Sonatype.
Dans les audits DevSecOps et CI/CD réalisés par AGCG, une tendance lourde se dessine : la plupart des organisations sous-estiment fortement leur exposition supply chain.
Dans ce contexte, la moindre compromission de compte, de pipeline ou de registre peut avoir un impact disproportionné par rapport à l’incident initial.
Il ne s’agit pas uniquement de “durcir la CI/CD” mais de reprendre le contrôle du cycle de vie logiciel, de la conception à la mise en production, en intégrant la sécurité comme propriété native du pipeline.
« La supply chain logicielle est devenue l’un des rares points où un seul geste d’un attaquant peut générer des milliers de victimes. Reprendre la maîtrise de la chaîne CI/CD, c’est reprendre la maîtrise de sa souveraineté logicielle. »
— AGCG Genuine Consulting Group
Les attaques supply chain & CI/CD représentent l’un des risques les plus asymétriques du paysage cyber : une seule dépendance compromise, un seul pipeline vulnérable, un seul secret exposé peuvent déclencher des impacts d’une ampleur systémique.
Pour les organisations, l’enjeu n’est plus de se demander si elles seront ciblées via leur chaîne logicielle, mais si elles seront prêtes le jour où cela arrivera. La mise sous contrôle du cycle de développement et de la CI/CD devient un pilier de la résilience globale.
Chez AGCG, nous aidons les entreprises à transformer leurs pipelines CI/CD en actifs de confiance : audités, durcis, supervisés et alignés sur les cadres de référence internationaux, pour faire de la supply chain un levier de différenciation plutôt qu’un point faible.