Digital Business & Future 08.06.2026

Lorsque la mise à jour devient la porte d’entrée des intrusions

6 min. de lecture

Le 11 mai, six minutes suffirent. Dans cet intervalle, des attaquants ont propagé 84 versions altérées dans 42 packages de développeurs très répandus, chacun contenant un voleur de données d’accès. Qui utilisait ces packages téléchargait la malware via la prochaine mise à jour. Trois cas similaires ont été signalés uniquement en mai dans le catalogue d’avertissements de l’agence américaine CISA.

Les points clés en bref

Des outils familiers sont devenus des voies d’attaque. TanStack, Daemon Tools et Nx Console ont distribué du code malveillant via des mises à jour régulières en mai. CISA considère que les trois ont été activement exploités.
Même ceux qui ne développent pas eux-mêmes sont concernés. Presque tous les logiciels professionnels contiennent des composants tiers. Le risque pénètre par la chaîne d’approvisionnement, pas par la porte d’entrée de votre entreprise.
La directive NIS2 rend la chaîne d’approvisionnement une priorité. Celui qui est concerné par cette directive doit intégrer la sécurité de ses fournisseurs et des modules logiciels dans sa gestion des risques. Un inventaire est la première et la plus économique des étapes.

Liens associés :NIS2 : Checklist pour les PME / RegTech : Maîtriser les risques de conformité

Comment des outils familiers sont devenus une porte d’entrée

Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ? Lors d’une attaque de la chaîne d’approvisionnement, les cybercriminels ne manipulent pas directement l’entreprise cible, mais un logiciel ou un outil auquel elle fait confiance. Via la prochaine mise à jour régulière, le code malveillant pénètre inaperçu dans de nombreux systèmes à la fois. Un seul canal de mise à jour compromis permet ainsi d’atteindre des milliers d’entreprises simultanément.

Les trois cas du mois de mai illustrent ce schéma à l’état pur. Pour TanStack, une collection de composants très répandue dans l’environnement web, des attaquants ont piraté le processus de publication automatisé via GitHub et ont diffusé des dizaines de versions empoisonnées en quelques minutes. Pour Daemon Tools Lite, les installateurs officiels ont été manipulés pendant des semaines, camouflés par un certificat de signature de code valide. Pour Nx Console, une extension pour environnements de développement, une version malveillante s’est retrouvée brièvement sur la marketplace officielle.

Le plus perfide réside dans le camouflage. Chacun de ces vecteurs ressemblait à une routine : un installateur signé, une entrée de marketplace, une mise à jour de version. Quiconque a déjà géré un environnement logiciel sait que ce type de mise à jour passe généralement sans susciter la moindre méfiance. Voici la chronologie des faits :

La vague d’attaques de la chaîne d’approvisionnement en mai

11 mai

TanStack : 84 versions manipulées dans 42 packages npm, publiées via un workflow automatisé piraté. Avec à son bord, un voleur d’identifiants.

18/19 mai

Nx Console : une version malveillante de l’extension pour développeurs se retrouve brièvement sur la marketplace officielle et sur OpenVSX.

Avril à mai

Daemon Tools Lite : les installateurs officiels sont manipulés pendant des semaines, camouflés par un certificat de signature de code valide.

27 mai

La CISA intègre ces trois cas dans son catalogue des vulnérabilités connues et exploitées, et impose un délai d’action aux agences fédérales américaines.

Pourquoi cela touche aussi les PME qui ne développent pas en interne

Le réflexe le plus courant dans les PME est de se dire : nous ne programmons rien, cela ne nous concerne pas. Ce réflexe est trompeur. L’ERP, le portail client, l’interface comptable, presque tous les logiciels de gestion modernes sont assemblés à partir de composants tiers. Quiconque a fait développer une application web par une agence a très probablement intégré dans son système des paquets issus du même écosystème que les versions de TanStack.

L’attaque atteint l’entreprise par le biais de ses fournisseurs et de leurs logiciels, bien avant que quiconque n’envisage une intrusion directe. Cette chaîne d’approvisionnement est rarement documentée dans les PME. Personne ne tient de liste des logiciels tiers intégrés dans chaque système. C’est précisément cette faille qu’exploitent les attaquants, car une bibliothèque compromise reste invisible jusqu’à ce que quelqu’un la recherche spécifiquement.

versions de paquets compromises ont été injectées par les attaquants le 11 mai en seulement six minutes dans 42 paquets de développement très répandus.

Source : Post-mortem TanStack, analyse Snyk

À cela s’ajoute le volet réglementaire. La directive NIS2 soumet pour la première fois une grande partie des PME à des obligations de sécurité contraignantes et mentionne explicitement la chaîne d’approvisionnement. Les entreprises doivent désormais prendre en compte la sécurité de leurs composants logiciels et de leurs prestataires, et non plus seulement celle de leur propre pare-feu. Un incident comme celui de TanStack n’est donc plus un simple désagrément informatique, mais une question de devoir de diligence dont la direction générale est ultimement responsable.

Ce que les PME peuvent faire maintenant

La bonne nouvelle : pas besoin d’une équipe sécurité de grand groupe pour réduire le risque de base. Quatre étapes, même réalisables avec des ressources limitées, couvrent l’essentiel.

Quatre étapes sans budget de grand groupe

Établir un inventaire

Recenser quels logiciels, bibliothèques et outils de développement sont utilisés. Sans cette liste, aucun incident ne peut être circonscrit ni signalé.

Reporter les mises à jour

Ne pas appliquer aveuglément la dernière version. Un délai d’un à deux jours et un coup d’œil aux notes de version suffisent à bloquer la plupart des publications malveillantes.

Renforcer les accès

Les attaquants visaient les identifiants et les clés de publication automatiques. L’authentification à deux facteurs obligatoire, des droits de publication stricts et des clés régulièrement changées ferment la principale porte d’entrée.

Interroger les prestataires

Qui achète ou fait développer un logiciel doit se renseigner sur l’origine des briques et le processus de mise à jour. NIS2 exige précisément cette diligence vis-à-vis des fournisseurs.

Aucune de ces étapes n’est coûteuse, et aucune ne requiert de connaissances spécialisées. Le vrai travail consiste à regarder là où personne n’était responsable jusqu’à présent. C’est exactement la différence entre une entreprise qui détecte une attaque sur sa chaîne d’approvisionnement et une autre qui l’apprend dans la presse.

Quatre étapes pour réduire les risques : inventaire, délai de mise à jour, vérification, signalement – sous forme d’infographie avec icônes et courtes légendes. — Les PME sécurisent leur informatique grâce à des étapes claires contre les risques logiciels.

La vague de mai ne devrait pas être la dernière. Les attaques sur la chaîne d’approvisionnement logicielle sont peu coûteuses, touchent des milliers de victimes à la fois et frappent aussi bien les entreprises préparées que les autres. La différence se fait après coup, dans la capacité à connaître son propre inventaire.

Foire aux questions

Que s’est-il passé lors des attaques contre TanStack, Daemon Tools et Nx Console ?

Dans les trois cas, les attaquants ont introduit du code malveillant via des canaux de distribution habituels : workflows de publication compromis pour TanStack, installateurs signés manipulés pour Daemon Tools, et une extension malveillante sur le marché officiel pour Nx Console. La CISA a répertorié ces trois vulnérabilités comme activement exploitées fin mai.

Cela concerne-t-il également les PME qui ne développent pas elles-mêmes ?

Oui. Presque tous les logiciels professionnels intègrent des composants tiers, et les applications acquises ou développées par des agences utilisent les mêmes bibliothèques qui sont ici concernées. Le risque migre à travers la chaîne d’approvisionnement jusqu’à l’entreprise, indépendamment du fait que du code soit programmé en interne ou non.

Quel est le lien entre NIS2 et les chaînes d’approvisionnement logicielles ?

NIS2 oblige explicitement les entreprises concernées à intégrer la sécurité de leur chaîne d’approvisionnement et de leurs prestataires directs dans leur gestion des risques. Cela implique de connaître les composants logiciels utilisés et d’être capable d’en évaluer l’origine. Les manquements peuvent engager la responsabilité du directoire, ce qui signifie que le sujet ne se limite pas au service informatique.

Comment savoir si mon entreprise est concernée ?

La première étape consiste à réaliser un inventaire des logiciels et des bibliothèques utilisées. Il devient ensuite possible de vérifier si des versions compromises sont déployées. Si vous faites appel à une agence externe, interrogez-la spécifiquement sur les packages utilisés et les versions installées.

Combien coûte la sécurisation pour une PME sans grande équipe de sécurité ?

Les mesures les plus efficaces sont peu coûteuses : un inventaire logiciel, une gestion consciente des mises à jour et des accès durcis avec obligation d’authentification à deux facteurs. Cela demande avant tout de la discipline et un peu de temps, pas un gros budget. Ce sont les incidents passés inaperçus qui deviennent coûteux.