Supply Chain Attack

Une supply chain attack (« attaque sur la chaîne d'approvisionnement logicielle ») est une attaque qui ne cible pas directement une victime mais l'un de ses fournisseurs en amont - éditeur logiciel, librairie open source, prestataire MSP - pour atteindre indirectement un grand nombre de cibles via une mise à jour ou un composant compromis.

Les incidents emblématiques sont SolarWinds (2020), Codecov (2021), Log4Shell (2021), 3CX (2023) et l'affaire xz-utils (2024), où un mainteneur malveillant a injecté une backdoor dans une librairie fondamentale de Linux.

Les contre-mesures incluent les SBOM, la signature des artefacts (Sigstore, in-toto, SLSA), l'isolation des builds, les vendored dependencies et la réduction de la surface des dépendances tierces.