Nouvelle Cyberattaque cible un logiciel populaire : Qu'est-ce que cela signifie pour votre PME ?

Vulnérabilité Majeure Découverte dans un Logiciel Populaire

Récemment, une nouvelle cyberattaque préoccupante a été mise au jour. Des vulnérabilités ont été découvertes dans plusieurs progiciels largement utilisés par les développeurs du monde entier. Cette attaque se concentre sur la "chaîne d'approvisionnement logicielle" (software supply chain).

Cela signifie que des acteurs malveillants obtiennent un accès au code déjà écrit par d'autres et utilisé ensuite dans de nouveaux logiciels.

L'attaque utilise une méthode appelée 'Mini Shai-Hulud'. Elle consiste à infecter des logiciels populaires ('packages') disponibles via le réseau npm. npm est une vaste bibliothèque en ligne de morceaux de code réutilisables que les développeurs du monde entier utilisent pour travailler plus rapidement et plus efficacement.

En infectant ces paquets, les attaquants peuvent propager leurs logiciels malveillants à toute personne utilisant les paquets concernés.

Plusieurs paquets liés à l'écosystème @antv ont été spécifiquement touchés. Il s'agit d'une collection d'outils et de bibliothèques pour la visualisation de données. Un exemple de paquet affecté est 'echarts-for-react'.

Ce paquet est utilisé pour créer des graphiques interactifs dans des applications web construites avec React, un framework très répandu. Ce paquet est utilisé chaque semaine par plus d'un million de développeurs, ce qui indique à quel point le problème est potentiellement généralisé.

Les attaquants y sont parvenus en compromettant le compte d'un administrateur ('maintainer') de ces paquets logiciels. Un administrateur a le pouvoir d'ajouter et de supprimer du code des paquets. Lorsqu'un tel compte est piraté, les attaquants peuvent ajouter du code malveillant sans que les autres ne le remarquent immédiatement.

Le code semble alors légitime et est intégré dans d'autres projets logiciels sans méfiance.

Comment Fonctionne Précisément Cette Attaque ?

Cette technique d'attaque spécifique, 'Mini Shai-Hulud', est une continuation de vecteurs d'attaque découverts précédemment. Elle vise à infiltrer la "chaîne d'approvisionnement logicielle". Imaginez que le logiciel que vous utilisez est construit à partir de petits éléments préfabriqués.

Cette attaque tente de contaminer la production de ces éléments. Une fois qu'un élément est contaminé, toute application qui utilise cet élément sera également contaminée indirectement.

Les attaquants ont spécifiquement infecté le compte 'atool' sur npm. Ce compte gère plusieurs paquets. L'un des plus connus est donc 'echarts-for-react'.

Il s'agit en fait d'un 'wrapper', un morceau de logiciel qui facilite l'utilisation d'une autre bibliothèque graphique puissante appelée Apache ECharts au sein d'une application React. Le succès et la large diffusion d''echarts-for-react' en font une cible idéale pour les attaquants cherchant à atteindre un grand nombre de systèmes.

La compromission du compte 'atool' signifie que les attaquants ont obtenu le contrôle de nouvelles versions de ces paquets. Ils ont donc pu injecter du code malveillant dans des mises à jour qui ont ensuite été téléchargées par d'autres développeurs. Ce code pouvait faire diverses choses, comme voler des données, installer d'autres logiciels malveillants, ou ouvrir une porte dérobée pour de futures attaques.

Son caractère insidieux rend cette attaque particulièrement dangereuse, car la contamination peut passer inaperçue pendant longtemps.

Étant donné que l'attaque cible des logiciels open-source largement utilisés, les conséquences potentielles sont considérables. Ce n'est pas tant un fournisseur de logiciels spécifiques qui est touché, mais un élément fondamental de la manière dont les logiciels modernes sont construits. Les experts en sécurité avertissent que ce type d'attaques exploite la tendance à une interdépendance croissante des composants logiciels.

C'est précisément l'efficacité de cette méthode qui la rend attrayante pour les cybercriminels.

Qu'est-ce que Cela Signifie pour les Entreprises PME ?

Pour les Petites et Moyennes Entreprises (PME), les implications de ce type d'attaques peuvent être considérables, même si vous n'utilisez pas directement les paquets spécifiques affectés. Premièrement, si votre service informatique ou une partie externe mandatée utilise les paquets @antv désormais compromis, vous êtes directement exposé au risque. Cela peut entraîner des fuites de données, des interruptions de vos processus d'entreprise, voire des attaques par ransomware si le code injecté le prévoit.

Mais même si vous n'utilisez pas les paquets spécifiques, il existe un danger indirect. De nombreuses PME utilisent des logiciels développés par de plus grandes entreprises. Ces grandes entreprises utilisent à leur tour des composants open-source comme ceux de npm.

Si un composant important de la chaîne d'approvisionnement présente une vulnérabilité, cela peut finir par se répercuter sur les produits logiciels que les PME utilisent quotidiennement. Il est donc crucial de savoir quels logiciels vous utilisez et quels composants sous-jacents y sont intégrés.

De plus, cet incident souligne l'importance d'une politique de cybersécurité robuste. Pour les PME, cela signifie concrètement :

• Maintenir les logiciels à jour : Assurez-vous que tous les logiciels utilisés, y compris les systèmes d'exploitation, les applications et les outils de développement, sont régulièrement mis à jour. Les mises à jour contiennent souvent des correctifs de sécurité cruciaux.
• Être critique face aux sources externes : Soyez prudent lors de l'implémentation de nouveaux composants logiciels, en particulier ceux provenant de sources inconnues ou moins fiables. Vérifiez la réputation et la maintenance des composants utilisés par vos fournisseurs informatiques.
• Implémenter des mesures de sécurité : Pensez aux pare-feu, aux logiciels antivirus et au contrôle d'accès. Des sauvegardes régulières sont essentielles pour pouvoir récupérer après un incident.
• Former les employés : La sensibilisation des employés aux techniques de phishing et d'ingénierie sociale est une ligne de défense importante. Un compte compromis d'un employé peut également être une porte d'entrée.
• Interroger votre fournisseur informatique : Demandez à votre fournisseur informatique s'il connaît les vulnérabilités récentes et quelles mesures il prend pour protéger vos systèmes. La transparence est essentielle ici.

Conclusion

La découverte de l'attaque Mini Shai-Hulud sur des paquets npm comme echarts-for-react est un nouveau signal que le monde numérique devient de plus en plus complexe et vulnérable. La chaîne d'approvisionnement logicielle est devenue un vecteur d'attaque important. Pour les PME, il est plus important que jamais d'être proactif dans leur cybersécurité.

En restant informé, en maintenant les logiciels à jour et en investissant dans la sécurité de base, la résilience de votre organisation peut être considérablement renforcée. N'hésitez pas à faire appel à des experts en cybersécurité pour évaluer et renforcer vos systèmes.

**En savoir plus ? ** Découvrez également comment Assist2go peut vous aider avec le service informatique adapté à votre entreprise.