26 novembre 2018 : l’équipe sécurité d’event-stream, un paquet npm, est contactée au sujet d’un paquet infecté qui permet à son auteur de dérober des Bitcoins. Ah non, il n’y a pas d’équipe sécurité d’event-stream. On contacte donc directement la personne responsable du paquet. Bon, il se trouve qu’elle ne maintient plus le paquet. Allez, on réveille le RSSI de la boî... Non plus ? On se retourne contre l’entreprise qui a audité un paquet aussi largement distribué ? Audiquoi ? Il n’y a pas eu d’élévation illégitime de privilèges. Pas de spoofing. Pas de vulnérabilité dans le code de Github, ni du côté de l’app, ni du côté de npm à proprement parler. Juste un attaquant intelligent qui a demandé à maintenir un paquet npm et qui a tranquillement injecté son code malveillant une fois mainteneur officiel. Dans l’open source, la chaîne de confiance est primordiale pour garantir la sécurité du développement, et la sécurité organisationnelle est parfois négligée : examinons les bonnes pratiques à mettre en place.
