---
timestamp: "00:00"
marker: "!"
title: "Introduction à la sécurité des chaînes d'approvisionnement logiciel"
quote: "Alors aujourd'hui, nous allons parler de méthodes pour adresser les problématiques de sécurité des chaînes d'approvisionnement avec Christophe Tafani de Reaper."
details:
L'épisode débute par une introduction au podcast No Limite SQ, qui se concentre sur la cybersécurité. Les contributeurs incluent Nicolas Ruf, Paul Amar, Hervé Chaur, et Vladimir Cola, avec Christophe Tafani en tant qu'invité principal.
Christophe Tafani travaille chez Datadog sur la sécurité du cloud et des logiciels open source. Il a une expérience variée, ayant travaillé dans des équipes de sécurité cloud et des opérations de développement.
Le sujet principal est la sécurité des chaînes d'approvisionnement logiciel, en se concentrant sur les logiciels plutôt que sur les aspects physiques ou humains.
La discussion se concentre sur les attaques potentielles à chaque étape du développement logiciel, depuis l'écriture du code jusqu'à sa distribution finale.
Un modèle mental utile pour comprendre ces chaînes est celui utilisé par Salsa, qui décrit comment le code passe du développeur au consommateur final.
---
---
timestamp: "00:01"
marker: "!"
title: "Modèles et exemples d'attaques sur les chaînes d'approvisionnement"
quote: "Il y a un cas qui est assez connu, c'est le cas en 2003 d'un acteur a priori inconnu qui a essayé de publier un patch dans le noyau Linux qui contenait un bug intentionnel."
details:
Christophe explique l'importance de comprendre le modèle de la chaîne d'approvisionnement logiciel, citant Salsa comme un exemple.
Il mentionne plusieurs attaques historiques, y compris une tentative en 2003 d'introduire un bug intentionnel dans le noyau Linux.
Les attaques peuvent cibler différentes étapes, comme la source du code, la chaîne de build, et la distribution.
L'exemple de SolarWinds est discuté, où des attaquants ont compromis le système de build pour insérer du code malveillant.
Une autre attaque notable est celle de Codecov, où un script Bash malveillant a été inséré, montrant l'importance de vérifier non seulement le code source mais aussi les scripts de construction.
---
---
timestamp: "00:03"
marker: "!"
title: "Stratégies de protection et détection des attaques"
quote: "Donc si on regarde comment est-ce qu'on s'assure qu'un développeur tout seul ne peut pas mettre du code malveillant en production, finalement c'est très classique."
details:
Christophe discute des mesures de protection pour empêcher les développeurs de pousser du code malveillant, comme l'utilisation de pull requests et la signature des commits.
Il souligne la complexité de sécuriser la chaîne de build, citant des exemples récents de compromissions dans les distributions Linux.
Les actions GitHub compromises en mars 2025 sont un exemple de la manière dont des attaquants peuvent exploiter des pipelines CI pour divulguer des secrets.
La discussion inclut des stratégies de détection, comme l'utilisation de projets open source pour surveiller les pipelines CI et s'assurer qu'ils ne réalisent pas d'actions inhabituelles.
Christophe mentionne l'importance de la transparence et de la vérification cryptographique pour garantir l'intégrité des artefacts logiciels.
---
---
timestamp: "00:06"
marker: "!"
title: "Détection proactive et outils de sécurité"
quote: "Il y a un projet open source qui s'appelle Gard Dog, guard, chien de garde en français qui va en fait faire deux choses."
details:
Christophe présente Guard Dog, un projet open source qui analyse les métadonnées des paquets et utilise des règles Semgrep pour détecter les anomalies.
Il explique que l'outil est conçu pour identifier les paquets malveillants en analysant des caractéristiques inhabituelles, comme l'absence de description ou des numéros de version suspects.
La discussion aborde l'importance de lancer ces outils dans les pipelines CI pour détecter les dépendances suspectes avant le déploiement.
Christophe souligne que la détection proactive est cruciale pour éviter que des paquets malveillants soient intégrés dans les projets.
Il mentionne également l'importance de la collaboration et de la contribution à des projets open source pour améliorer la sécurité collective.
---
---