Miasma : quand vos logiciels cachent un malware à votre insu
Un ver malveillant a infecté 73 dépôts GitHub de Microsoft. Si vos développeurs utilisent des bibliothèques open source, votre PME est peut-être concernée.
Imaginez qu'un fournisseur de pièces détachées livre, sans le savoir, des composants piégés à des milliers de constructeurs automobiles. C'est exactement ce qui vient de se produire dans le monde du logiciel. Un malware baptisé Miasma a réussi à s'infiltrer dans 73 dépôts GitHub appartenant à Microsoft, en se cachant dans des paquets npm — ces briques logicielles que vos développeurs ou prestataires IT utilisent quotidiennement pour construire vos applications. Résultat : des milliers d'entreprises, dont potentiellement des PME françaises, ont pu intégrer sans le savoir un logiciel espion dans leurs propres outils. Si vous employez des développeurs ou faites appel à un prestataire informatique qui code pour vous, continuez à lire.
C'est quoi un paquet npm et pourquoi ça vous concerne ?
Quand vos développeurs créent ou maintiennent une application — site e-commerce, logiciel de gestion, outil interne — ils ne réécrivent pas tout de zéro. Ils s'appuient sur des bibliothèques open source : des morceaux de code partagés gratuitement par la communauté mondiale des développeurs. Les paquets npm (pour Node Package Manager) sont parmi les plus utilisés au monde : plus de deux millions de paquets disponibles, téléchargés des milliards de fois chaque mois. C'est une formidable accélération du développement… mais aussi une surface d'attaque gigantesque. Dans le cas de Miasma, des cybercriminels ont réussi à injecter du code malveillant directement dans des paquets légitimes hébergés par Microsoft. Tout développeur qui a téléchargé ces paquets entre la date de compromission et la détection a potentiellement installé un voleur de données dans le logiciel qu'il vous livrait. Sans le savoir. Et vous, sans le savoir non plus.
Pourquoi les attaques sur la chaîne d'approvisionnement logicielle frappent aussi les PME
L'attaque chaîne d'approvisionnement logicielle pour PME est devenue l'une des menaces les plus redoutées des experts en cybersécurité, précisément parce qu'elle contourne toutes vos défenses habituelles. Votre antivirus ne détecte rien : le code malveillant arrive camouflé dans un outil de confiance. Votre développeur ne voit rien : il a téléchargé le même paquet qu'il utilise depuis des mois. Vous ne voyez rien : le logiciel fonctionne normalement. Pendant ce temps, Miasma — comme ses équivalents — peut exfiltrer des mots de passe, des clés d'accès à vos systèmes, des données clients, des informations bancaires stockées dans vos applications. Les grandes entreprises ont des équipes entières dédiées à surveiller ces risques. Les PME, elles, font confiance à leurs prestataires. Or ce prestataire, aussi compétent soit-il, peut être lui-même victime sans le savoir. La chaîne de confiance est rompue à la source.
Les signaux d'alerte à surveiller dans votre propre entreprise
Vous n'avez pas besoin de comprendre le code pour poser les bonnes questions. Voici quelques signaux qui doivent vous alerter. Premier signal : votre prestataire ou développeur ne documente jamais les bibliothèques qu'il utilise — vous n'avez aucune visibilité sur ce qui entre dans vos logiciels. Deuxième signal : personne dans votre équipe IT ne surveille les alertes de sécurité publiées sur les outils utilisés. Dans le cas Miasma, Microsoft a publié une alerte : les entreprises qui avaient mis en place une veille ont pu réagir en quelques heures. Les autres ont attendu d'être prévenues, parfois trop tard. Troisième signal : vos contrats avec vos prestataires ne mentionnent aucune obligation en matière de sécurité des dépendances logicielles. Si votre développeur externe empoisonne votre application sans le vouloir, qui est responsable ? Ces questions inconfortables méritent des réponses avant qu'un incident ne survienne.
Ce que vous pouvez faire dès maintenant
1. Demandez un inventaire à votre prestataire IT. Exigez la liste des bibliothèques et paquets open source intégrés dans vos logiciels. Ce document s'appelle un SBOM (Software Bill of Materials). Si votre prestataire ne sait pas ce que c'est, c'est un problème. 2. Vérifiez si vos outils utilisent des paquets npm récemment signalés. Transmettez à votre développeur le nom Miasma et les identifiants des paquets compromis publiés par Microsoft, et demandez-lui de confirmer par écrit qu'aucun de vos projets n'est concerné. 3. Intégrez une clause de sécurité dans vos contrats IT. Tout futur contrat avec un prestataire de développement doit inclure une obligation de veille sur les vulnérabilités et une procédure de notification en cas d'incident sur la chaîne logicielle. 4. Activez les alertes de sécurité GitHub si vous avez des dépôts. GitHub propose gratuitement un outil appelé Dependabot qui surveille automatiquement les dépendances et vous alerte en cas de faille connue. Demandez à votre équipe de l'activer dès aujourd'hui. 5. Planifiez un audit de vos applications critiques. Si vous disposez d'un logiciel interne ou d'une application client, demandez à un expert en sécurité indépendant d'analyser les paquets utilisés. Un audit ciblé coûte quelques centaines à quelques milliers d'euros — bien moins qu'une fuite de données sanctionnée par la CNIL. La menace Miasma est un rappel brutal : la sécurité de votre PME ne dépend plus seulement de votre propre vigilance, mais de toute la chaîne de confiance qui vous entoure. C'est le moment de reprendre la main.