Les attaques supply chain de mai 2026 : quand l'IA crée des surfaces d'attaque sans précédent

1. Récapitulatif : huit incidents en deux semaines

Du 28 avril au 12 mai 2026, huit incidents ont montré que la chaîne d'approvisionnement logicielle est une cible privilégiée, et que la surface d'attaque s'étend bien au-delà du code source. Ce tableau distingue les CVE confirmées par le NVD ou l'éditeur, les advisories sans CVE attribuée, et les packages compromis documentés par des bases tierces.

CVE-2026-41940 : le bypass d'authentification cPanel

Le 28 avril 2026, cPanel a publié CVE-2026-41940 (CVSS 9.8), un bypass d'authentification affectant WHM/cPanel depuis la version 11.40. Le vecteur est une injection CRLF dans les fichiers de session : l'attaquant falsifie des propriétés de session via l'en-tête Authorization, puis récupère un accès administrateur. Rapid7 estime 1,5 million d'instances exposées. L'exploitation in-the-wild est antérieure à la divulgation : Shadowserver a détecté 44 000 IPs compromises le 30 avril, et Censys a identifié deux campagnes post-compromission (variante Mirai et ransomware "Sorry"), avec 7 135 serveurs touchés.

CVE-2026-31431 : Copy Fail, LPE Linux depuis 2017

Le 29 avril 2026, Theori a publié CVE-2026-31431 (Copy Fail), une élévation de privilèges locales dans le noyau Linux introduite en 2017. Le mécanisme exploite l'interface AF_ALG et l'appel système splice() pour écrire quelques octets contrôlés dans le cache de pages d'un binaire setuid-root, modifiant son comportement en mémoire. L'altération est purement en mémoire : les outils d'intégrité de fichiers restent silencieux car ils inspectent le disque, pas la mémoire. Le PoC fait 732 octets, est déterministe, et CISA l'a ajouté au catalogue KEV le 1er mai. Theori rapporte que sa plateforme d'analyse assistée par IA a contribué à identifier la faille en une heure de scan.

CVE-2026-23918 : double-free Apache HTTP/2

Le 4 mai 2026, Apache a publié HTTP Server 2.4.67 corrigeant CVE-2026-23918 (CVSS 8.8), une double-free dans mod_http2. L'avis éditeur qualifie la faille de double-free avec possible exécution de code à distance. Le crash worker (déni de service) est le scénario le plus direct ; l'exécution de code dépend de l'allocateur APR et du MPM. Aucune authentification n'est requise. Les déploiements MPM prefork sont moins exposés.

Dirty Frag : embargo brisé, exploitation active

Le 7 mai 2026, le chercheur Hyunwoo Kim a publié Dirty Frag (CVE-2026-43284 et CVE-2026-43500), une chaîne LPE Linux contournant les mitigations de Copy Fail via des chemins réseau du noyau (ESP/IPsec, RxRPC). L'embargo de divulgation responsable a été brisé par un tiers avant que les distributions puissent patcher : le patch CVE-2026-43284 est sorti le 8 mai, mais CVE-2026-43500 restait non corrigée. Microsoft Defender a confirmé une exploitation "limitée mais active" dès le 8 mai. Dirty Frag permet également le contournement de conteneurs car le cache de pages est partagé entre hôte et conteneurs.

CVE-2026-45321 : compromission npm TanStack

Le 11 mai 2026, 84 versions malveillantes ont été publiées sur 42 packages TanStack en 6 minutes. Le postmortem officiel confirme une chaîne d'attaque GitHub Actions : pull_request_target mal configuré, empoisonnement du cache partagé, extraction du jeton OIDC depuis la mémoire du runner (/proc/*/mem). Le jeton était valide ; npm l'a accepté. Le payload obfusqué (~2,3 Mo) vole les identifiants cloud, CI/CD et SSH, s'exfiltre via Session/Oxen, puis se propage aux autres packages de la victime et persiste en daemon au-delà de la suppression du package.

CVE-2026-33634 : backdoor Checkmarx Jenkins

TeamPCP a compromis le plugin Jenkins AST de Checkmarx et publié une version trojanisée (2026.5.09) sur le Jenkins Marketplace officiel. Le NVD confirme CVE-2026-33634 (CVSS 8.8). Checkmarx a publié les IOCs SHA-256 du build malveillant ; la fenêtre d'exposition s'étend du 9 mai 01:25 UTC au 10 mai 08:47 UTC. CISA a ajouté cette CVE au catalogue KEV. C'est la troisième vague de la campagne TeamPCP, après Trivy (mars) et SAP npm (avril).

Mini Shai-Hulud : campagne de packages compromis

Depuis mars 2026, une campagne coordonnée touche des écosystèmes divers : LiteLLM, Trivy, PyTorch Lightning, Bitwarden CLI, SAP npm, Mistral AI, UiPath. Il s'agit de packages compromis sur des registres publics, pas de failles zero-day dans le code source. Le dénominateur commun est l'exploitation de la confiance accordée aux pipelines CI/CD, aux marketplaces de plugins et aux mécanismes d'authentification éphémères comme OIDC. PyTorch Lightning (versions 2.6.2/2.6.3) et SAP (4 packages npm) ont été compromis sans CVE officielle attribuée.

2. L'IA comme multiplicateur de surface d'attaque

Ce qui distingue la vague actuelle n'est pas seulement l'ampleur, c'est l'accélération des deux côtés : les attaquants automatisent la reconnaissance, la génération de variants et la propagation ; les défenseurs automatisent la découverte de failles structurelles.

Les modèles de langage accélèrent la reconnaissance et la génération de variants, côté attaquant comme défenseur. Côté défense, Theori a identifié Copy Fail en une heure avec Xint Code. Côté attaque, les payloads Mini Shai-Hulud vérifient le contexte d'exécution (variables CI) avant de s'activer, restant silencieux sur un poste local. L'IA amplifie cette tendance, mais l'automatisation classique reste le moteur principal des campagnes documentées.

3. La confiance brisée : quand le pipeline devient vecteur

Le modèle de sécurité de l'open source repose sur une chaîne de confiance implicite : développeur, mainteneur, CI, registre, publieur. Chaque lien est devenu un vecteur d'attaque.

Le mécanisme OIDC trusted publisher de npm est conçu pour éliminer les secrets statiques. En pratique, l'attaquant de TanStack n'a pas volé de secret : il a extrait le jeton OIDC directement de la mémoire du runner (/proc/*/mem) au moment de son utilisation. Le jeton était valide, authentique, lié à l'identité légitime du dépôt. npm l'a accepté. Les outils d'audit n'avaient aucune raison d'alerter : la seule anomalie était la cadence de 84 publications en 6 minutes.

4. Le blast radius : connaître son périmètre d'explosion

Le blast radius est la zone d'effet d'une compromission. Si un package npm est infecté, quelles autres ressources sont accessibles depuis l'environnement d'installation ? La réponse, dans la quasi-totalité des cas, est : on ne sait pas.

Le blast radius n'est pas un cercle, c'est un réseau. Un projet JavaScript moderne dépend de centaines de packages transitifs. Sans un inventaire complet (SBOM) avec versions exactes, hash et mainteneurs, il est impossible de connaître la zone d'effet d'une compromission. Et sans la connaître, impossible de prioriser les mesures de protection.

5. Zero trust et zero knowledge : deux murs, un fossé

Zero trust et zero knowledge sont souvent confondus. Ils sont complémentaires mais distincts. Le zero trust (NIST SP 800-207) est un modèle d'architecture réseau. Le zero knowledge est une propriété cryptographique. Les deux sont désormais indispensables, pour des raisons différentes.

Le zero trust est une architecture ; le zero knowledge est une garantie. L'un sans l'autre laisse un trou : le zero trust protège le périmètre mais pas le stockage ; le zero knowledge protège le stockage mais pas le périmètre. Appliqué à la supply chain, cela signifie signer les artefacts avec des clés matérielles (QSCD), distribuer les secrets via des enclaves, et ne jamais faire transiter de credentials en clair dans un runner CI.

6. Chiffrement, hardware et runtime : la défense en profondeur

Face à des attaquants qui exploitent la chaîne de confiance elle-même, les défenses traditionnelles (pare-feu, antivirus, détection d'intrusion) sont insuffisantes. Il faut une défense en profondeur qui protège le code, les données, et l'exécution à chaque niveau.

Le pinning systématique

Figer les versions via lockfile et vérifier les hash avant installation. Dans l'attaque TanStack, les développeurs avec un package-lock.json figé sur une version antérieure n'ont pas été touchés. Ceux avec des plages flottantes (^, ~) ont automatiquement récupéré les versions malveillantes.

Le contrôle du réseau

Le point défensif robuste est une egress allowlist stricte : journaliser les connexions sortantes des runners CI, bloquer par défaut tout flux non autorisé, et détecter les anomalies comportementales (horaires inhabituels, volume anormal, protocoles non standards).

La connaissance du code exécuté

Une organisation qui ne sait pas quel code s'exécute dans ses CI/CD ne peut pas se défendre. SBOM à jour, scan de vulnérabilités avant build, sandbox pour les hooks npm, et revue humaine des mises à jour critiques. Tout cela exige une discipline organisationnelle.

7. Ce qu'il faut faire demain

Les incidents d'avril-mai 2026 ne sont pas des exceptions. Ils sont des précurseurs. La campagne Mini Shai-Hulud, documentée depuis mars 2026, touche des écosystèmes aussi divers que PyTorch, SAP, Mistral AI, UiPath et TanStack. L'attaquant n'a pas de préférence technologique. Il a une préférence pour la surface d'attaque la plus large.

Ces mesures ne sont pas des options, elles sont des prérequis. Le coût d'une compromission se mesure en heures de rotation de secrets, réinstallation d'infrastructure, perte de confiance et réparation juridique. Le coût de la prévention est connu, budgétable, et infime face au coût de la réaction. Les outils et standards existent. Ce qui manque, c'est la discipline de les appliquer systématiquement.