Ces dernières semaines, nous avons vu un modèle qui devrait exiger de repenser la sécurité du logiciel : les attaquants n'acceptent plus d'entrer du code malveillant dans des paquets ou des conteneurs, leur objectif de plus en plus commun est de voler les lettres de créances et les jetons qui permettent à ce logiciel d'agir comme "fidé". Des campagnes contemporaines ont montré que la suppression des secrets des environnements de développement et des pipelines CI / CD offre une voie rapide et à fort impact pour la manipulation, la publication et le déploiement de logiciels légitimes. Cela fait du travail du développeur un lien critique dans la chaîne d'approvisionnement, pas seulement un point final.
Ce changement nécessite une lecture différente du risque. Les investissements sont traditionnellement axés sur la protection des dépôts, des artefacts, des plates-formes d'IC et des nuages; ces défenses restent nécessaires mais incomplètes. La vraie porte d'entrée est souvent le contexte local: dépôts clonés, variables d'environnement, historique terminal, agents SSH chargés, fichiers .env, configurations de gestionnaire de paquets et sessions de navigateur contenant des jetons ou des indices sur l'endroit et la façon dont les identifiants sont utilisés.
Lorsqu'un attaquant accède à un jeton ou à une clé à côté de la piste où il est utilisé - une télécommande Git, un script de déploiement, un profil cloud -, la simple information devient une carte opérationnelle. C'est pour ça que la menace n'est pas seulement un "code illicite" mais le contexte et la collecte des références au point exact où vous leur faites confiance. La vitesse de l'automatisation et des assistants entraînés par l'IA rend la fenêtre entre la découverte et l'exploitation extrêmement courte.
Pour atténuer ce risque, des travaux sont nécessaires sur plusieurs fronts et en coordination entre les équipes : AppSec, sécurité des terminaux, identité, plate-forme et opérations cloud. Cela signifie plus de friction pour les développeurs, mais des points de contrôle intelligents. Les meilleures pratiques comprennent le contrôle d'accès minimalement privilégié, les pouvoirs éphémères liés à l'identité et la vérification du statut de l'appareil avant d'accorder des jetons. L'adoption de modèles tels que OIDC pour CI et STS pour les sessions en nuage réduit la valeur de tout secret exposé sur un disque local.
Au niveau opérationnel, il est essentiel de détecter les secrets avant qu'ils ne quittent le niveau local. Des mesures telles que les hameçons pré-engagés, la numérisation IDE, la détection de secrets de pipeline et les politiques qui bloquent l'engagement ou les fusions automatiques lorsque les identifiants sont identifiés réduisent la surface. La télémétrie précoce et les avertissements contextuels sont plus utiles que les rapports punitifs : ils indiquent le risque et permettent de corriger sans arrêter la productivité. Les outils de détection précoce devraient être intégrés au flux de travail du développeur et non le remplacer.
Nous devons également réfléchir à la protection de la « mémoire » automatique : assistants de code et agents d'automatisation. Demander ce qu'ils peuvent lire, ce qu'ils peuvent exécuter et où se terminent leurs sorties est aussi important que l'audition de dépendances externes. Afin de réduire au minimum les fuites, il est recommandé d'élaborer des politiques qui empêchent l'envoi de fragments sensibles à des services externes, d'utiliser des exemples de modèles locaux lorsque cela est possible et de filtrer les appels et les journaux en temps réel.
La réponse aux incidents doit être aussi rapide que possible. Si un engagement de poste de travail est suspecté, l'organisation doit être en mesure d'identifier les références utilisables de cette machine, de les révoquer ou de les faire pivoter automatiquement, et de suivre l'utilisation latérale des jetons. La coordination entre la détection des paramètres, la révocation de l'identité et les mesures des nuages réduit le temps d'exposition que les attaquants exploitent.
Il existe des guides et des cadres qui aident à définir cette approche globale : les ressources d'organismes tels que le CISA fournissent des conseils pratiques sur la gestion des risques de la chaîne d'approvisionnement et les interventions en cas d'incident, et les publications du NIST sur la gestion des risques de la chaîne d'approvisionnement fournissent des cadres pour hiérarchiser les contrôles techniques et organisationnels. La consultation de ces matériaux aide à convertir les intuitions en politiques répétitives ( https: / / www.cisa.gov / chaîne d'approvisionnement, https: / / csrc.nist.gov / publications / detail / sp / 800-161 / rev-1 / final). En outre, les guides pratiques de sécurité de la chaîne d'approvisionnement publiés par les grands fournisseurs collectent les contrôles applicables dans des environnements réels ( https: / / learn.microsoft.com / fr-us / sécurité / boussole / logiciel-fourniture-chaîne-sécurité).
Dans la pratique, les organisations devraient commencer par inventer les titres de compétence qui résident ou peuvent être utilisés depuis les stations de développement, établir des règles sur leur durée et leurs privilèges, déployer la détection préalable pour s'engager et améliorer la télémétrie pour savoir rapidement ce qui devrait être tourné. Dans le même temps, la mise en place de contrôles de confiance basés sur les appareils (mécanismes d'affichage), une forte authentification de l'identité et des politiques de privilège minimales dans les dépôts et les registres limitent les dommages en cas de fuite.
Le message opérationnel est clair : traiter la station de développement comme une limite de la chaîne d'approvisionnement, pas comme un utilisateur de plus dans le parc des paramètres. Changer cette approche vous permet de concevoir des contrôles précis qui arrêtent la suppression des lettres de créances et rompent la logique d'attaque où le plus de dommages peuvent causer. Dans un monde où l'automatisation accélère à la fois la livraison et l'exploitation, anticiper et réduire le flux de confiance dans l'origine est la défense la plus efficace.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...