Une attaque supply chain visant l’outil de sécurité open source Trivy a conduit à la diffusion de code malveillant et en passant par Docker Hub et GitHub Actions. Un incident qui démontre une fois de plus, les risques croissants qui pèsent sur les chaînes de développement et les dépendances logicielles utilisées en entreprise.
Une compromission au cœur des chaînes de sécurité
L’outil open source Trivy, largement utilisé pour analyser les vulnérabilités dans les conteneurs, les dépôts de code et les environnements cloud, a été au centre d’une attaque supply chain d’ampleur. Des versions compromises ont été distribuées avec Docker Hub, notamment les images 0.69.4 à 0.69.6, désormais supprimées. La dernière version considérée comme saine reste la 0.69.3.
Le problème ne se limite pas à un simple dépôt compromis. Trivy est intégré directement dans de nombreux pipelines CI/CD, grâce à des GitHub Actions ou des scripts automatisés. En d’autres termes, l’attaque s’est potentiellement propagée dans des environnements de développement et de production sans interaction humaine directe.
Une diffusion élargie via les outils DevOps
Les chercheurs en sécurité évoquent la distribution de code malveillant capable de dérober des informations sensibles, notamment des secrets utilisés dans les pipelines CI/CD. Dans certains cas, l’attaque aurait également servi de point d’entrée à des mécanismes plus agressifs, de propagation automatique proches d’un ver informatique ou des actions destructrices sur des environnements Kubernetes.
Ce mode opératoire met en lumière une évolution qu’il ne faut pas négliger. Les attaquants ne ciblent plus uniquement les systèmes finaux, mais les outils eux-mêmes censés renforcer la sécurité. En compromettant une dépendance largement adoptée, ils bénéficient d’un effet de levier considérable.
Un risque systémique pour les entreprises
L’incident Trivy n’est pas un cas isolé mais rappelle un point de fragilité devenu critique dans les organisations : la dépendance à des composants open source intégrés en profondeur dans les chaînes de développement. Ces outils, souvent automatisés et mis à jour en continu, échappent parfois aux contrôles de sécurité traditionnels.
Pour les équipes IT et sécurité, la question ne se limite plus à la protection des infrastructures, mais s’étend désormais à la vérification des outils eux-mêmes. Cela suppose de renforcer les pratiques de validation des dépendances, de limiter les mises à jour automatiques non contrôlées et de surveiller plus finement les comportements anormaux dans les pipelines.
Cette attaque pose une question plus large sur le modèle de confiance qui sous-tend l’écosystème open source. Si ces outils restent indispensables, leur intégration massive et souvent implicite dans les systèmes d’information en fait désormais des cibles privilégiées. Les entreprises sont contraintes d’arbitrer entre agilité et maîtrise du risque. Un équilibre de plus en plus difficile à maintenir à mesure que les chaînes logicielles gagnent en complexité.
