Ver GitHub et PyPI piégés : vos secrets d'entreprise en danger

Imaginez que l'un de vos développeurs installe un outil courant pour gagner du temps sur un projet. Sans le savoir, il vient d'ouvrir une porte dérobée dans votre système informatique. Mots de passe, données clients, accès bancaires : tout ce que votre entreprise a de précieux se retrouve potentiellement entre les mains de cybercriminels. Ce scénario n'est plus théorique. Des chercheurs en sécurité ont récemment découvert un ver capable de se propager automatiquement entre projets hébergés sur GitHub, ainsi que des dizaines de paquets piégés publiés sur PyPI, la bibliothèque de référence des développeurs Python. Ces attaques dites de supply chain, ou attaques par la chaîne d'approvisionnement logicielle, sont aujourd'hui l'une des menaces qui progressent le plus vite, y compris contre les PME françaises.

C'est quoi exactement une attaque sur la chaîne logicielle ?

Pour faire simple : vos équipes n'écrivent pas leur logiciel de zéro. Elles s'appuient sur des centaines de briques existantes, appelées dépendances ou paquets, que d'autres développeurs ont mises à disposition gratuitement sur des plateformes comme GitHub ou PyPI. C'est une pratique normale et efficace, l'équivalent d'acheter des composants standard plutôt que de tout fabriquer soi-même. Le problème ? Des pirates ont compris qu'il était plus facile d'empoisonner ces briques communes que d'attaquer chaque entreprise une par une. Une supply chain attack PME fonctionne ainsi : le criminel publie un paquet au nom presque identique à un outil populaire, ou compromet directement un outil existant. Chaque entreprise qui l'installe devient une victime sans même s'en rendre compte. Dans le cas du ver GitHub découvert récemment, le code malveillant se copiait automatiquement dans d'autres projets hébergés sur la plateforme, se propageant comme une épidémie silencieuse. Quant aux paquets PyPI malveillants identifiés, ils étaient programmés pour collecter des identifiants, des clés d'accès à des services cloud et des données sensibles, puis les envoyer discrètement à des serveurs contrôlés par les attaquants.

Pourquoi les PME sont particulièrement exposées

On pourrait croire que seules les grandes entreprises sont ciblées. C'est une idée reçue dangereuse. Les PME françaises présentent en réalité un profil très attractif pour les cybercriminels : elles utilisent les mêmes outils que les grandes structures, mais disposent de beaucoup moins de ressources pour les surveiller. Concrètement, une PME qui développe une application interne, un site e-commerce ou un outil de gestion peut embarquer sans le savoir des paquets PyPI malveillants dans son code. Les conséquences sont immédiates : vol des identifiants de connexion à votre messagerie, à votre CRM ou à votre espace bancaire en ligne ; accès non autorisé à vos fichiers clients, ce qui peut entraîner une violation du RGPD et une amende ; compromission de vos serveurs ou de votre infrastructure cloud. Et comme ces attaques passent par des outils légitimes, les antivirus classiques ne les détectent souvent pas. La sécurité de la chaîne logicielle est donc un angle mort pour beaucoup de dirigeants, et les attaquants le savent très bien.

Ce que révèlent les incidents GitHub et PyPI sur l'évolution de la menace

Les dernières découvertes concernant le ver GitHub et les paquets PyPI piégés marquent une étape importante. Jusqu'ici, les attaques sur la sécurité de la chaîne logicielle nécessitaient une intervention humaine à chaque étape. Avec un ver auto-réplicant, la menace devient autonome : elle se propage seule, contamine de nouveaux projets en quelques heures et peut toucher des centaines d'entreprises avant même d'être détectée. Ce qui aggrave la situation, c'est la confiance aveugle que les équipes de développement accordent souvent à ces plateformes. GitHub et PyPI sont des références mondiales, des outils du quotidien. Personne ne vérifie systématiquement l'intégrité de chaque paquet téléchargé, de la même façon qu'on ne relit pas la notice de chaque vis achetée en quincaillerie. Les pirates exploitent précisément cette confiance. Il ne s'agit plus d'une attaque opportuniste mais d'une stratégie industrielle : contaminer le plus de projets possible en amont, pour récolter des données en masse en aval.

Ce que vous pouvez faire dès maintenant

Vous n'avez pas besoin d'être expert technique pour prendre les bonnes décisions. Voici cinq actions concrètes à mettre en place rapidement. Première action : demandez à votre responsable technique ou à votre prestataire informatique de dresser la liste de toutes les bibliothèques et dépendances utilisées dans vos projets. Si cette liste n'existe pas, c'est votre premier chantier. Deuxième action : exigez que votre équipe utilise uniquement des versions de paquets explicitement approuvées et gelées, en évitant les mises à jour automatiques non contrôlées. Un outil comme un fichier de verrouillage des dépendances (requirements.txt avec versions fixes en Python, par exemple) suffit à limiter drastiquement le risque. Troisième action : mettez en place une alerte sur les nouveaux paquets installés. Votre équipe doit vous informer de tout nouvel outil ajouté au code, exactement comme vous seriez informé d'un nouvel accès à votre système de caisse. Quatrième action : activez l'authentification à deux facteurs sur tous les comptes GitHub et PyPI utilisés par vos développeurs. Si un compte est compromis, cette simple mesure bloque la propagation du ver. Cinquième action : parlez-en lors de votre prochain point avec votre DSI ou votre prestataire IT. Posez-leur directement la question : sommes-nous exposés à une supply chain attack ? Avons-nous un inventaire de nos dépendances logicielles ? Leurs réponses vous diront où vous en êtes. La sécurité de la chaîne logicielle n'est plus un sujet réservé aux grandes entreprises tech. C'est désormais un enjeu de survie pour toute PME qui s'appuie sur du code, c'est-à-dire presque toutes.