Toujours à l'affût : le nouveau rapport de Strider révèle la présence de contributeurs à haut risque liés à des États-nations hostiles dans des écosystèmes de logiciels à source ouverte
Des recherches inédites démontrent que des personnes affiliées à des entités russes et chinoises à risque introduisent du code dans des chaînes d'approvisionnement en logiciels critiques
SALT LAKE CITY, 4 août 2025 /PRNewswire/ -- Strider Technologies, Inc. (« Strider »), leader dans le domaine du renseignement stratégique, a publié aujourd'hui un nouveau rapport documenté démontrant comment des individus directement affiliés à des États-nations inamicaux contribuent activement aux écosystèmes de logiciels à source ouverte (OSS) les plus appréciés. La présence de groupes représentant une cybermenace, parrainés par des États, sur des plateformes OSS telles que GitHub, témoigne de la nouvelle nature des risques géopolitiques auxquels les organisations sont actuellement confrontées.
Le rapport de Strider, Lying in Wait: Understanding the Contributors Behind Open Source Code (Toujours à l'affût : comprendre les contributeurs derrière le code à source ouverte), explique en détail comment les plateformes OSS sont de plus en plus transformées en véritables armes par des groupes de contributeurs représentant une menace persistante avancée. Grâce à des contributions subtiles au code, à l'insertion de portes dérobées et à l'exploitation de composants logiciels fiables, ces acteurs peuvent intégrer des menaces dans les pipelines logiciels utilisés par les entreprises, les développeurs tout comme les gouvernements.
« Les plateformes de logiciels à source ouverte constituent l'épine dorsale de l'infrastructure numérique d'aujourd'hui, mais dans de nombreux cas, on ne sait même pas qui soumet le code », a déclaré Greg Levesque, directeur général et cofondateur de Strider. « Par conséquent, des États-nations comme la Chine et la Russie exploitent ce manque de visibilité. Des individus sont à l'affût et renforcent leur crédibilité dans l'écosystème, avec le pouvoir d'introduire du code malveillant aux conséquences dévastatrices en aval. Nos recherches révèlent qu'il est impératif pour les entreprises et organisations de se concentrer sur les contributeurs au code, en plus de son contenu et de ses effets, afin de prendre des décisions éclairées sur la fiabilité de leurs systèmes. »
Des groupes financés par des États pour lancer des cyberattaques, tels que APT41 (Chine), le groupe Lazarus (Corée du Nord) et Cozy Bear (Russie), ont exploité des plateformes OSS pour servir les objectifs stratégiques de leur gouvernement. Ces acteurs sont devenus des contributeurs actifs qui détournent l'ouverture de ces plateformes pour infiltrer la chaîne d'approvisionnement logicielle, voler des données sensibles et permettre des campagnes de cyberespionnage à long terme. Plusieurs incidents très médiatisés survenus ces dernières années, comme l'attaque de la chaîne d'approvisionnement de l'index de paquets Python (PyPl), l'exploitation de la vulnérabilité Log4Shell et l'attaque de XZ Utilspar porte dérobée, illustrent cette tendance.
Grâce à sa nouvelle capacité de filtrage des logiciels à source ouverte, Strider a analysé les contributeurs aux dépôts OSS les plus populaires. Cette analyse a permis d'identifier des pseudos ayant des liens directs avec des acteurs étatiques de Chine, de Russie et d'Iran. Voici quelques exemples :
- Plus de 21 % des contributeurs à openvino-genai ont été signalés comme ayant des affiliations et des relations de travail qui présentent une menace pour la sécurité des États-nations. Il s'agit notamment de deux contributeurs actifs liés à plusieurs écosystèmes d'États-nations à haut risque.
- Le dépôt openvino-genai est au cœur des flux de travail modernes d'inférence de l'IA, car il contient le code qui permet d'exécuter des modèles d'IA générative sur des appareils grand public.
- La boîte à outils OpenVINO, de plus en plus prisée, a été téléchargée plus d'un million de fois et apparaît dans 62 projets en aval.
- L'un des contributeurs actifs (« as-suvorov ») était auparavant employé comme développeur full stack chez MFI Soft, une société de logiciels sanctionnée par les États-Unis.
- MFI Soft a réalisé un nombre important de travaux pour le compte du service spécial des communications du Service fédéral de protection (FSO), une agence de renseignement cryptologique chargée de la collecte et de l'analyse des communications étrangères et du renseignement d'origine électromagnétique.
- Un autre contributeur actif (« sbalandi ») était auparavant salarié de Positive Technologies, une société russe de technologie de l'information qui a été sanctionnée par les États-Unis en 2021 pour avoir facilité des cyberopérations malveillantes et soutenu des cyberacteurs du gouvernement russe.
Le rapport complet est disponible ici. Pour obtenir des informations sur l'outil de recherche de logiciels à source ouverte de Strider, cliquez ici.
À propos de Strider
Société leader du renseignement stratégique, Strider donne aux entreprises les moyens de sécuriser et de faire progresser leur technologie et leurs innovations. En s'appuyant sur une technologie d'IA de pointe et des méthodes exclusives, Strider transforme des données publiquement accessibles en informations cruciales. Cette veille améliorée permet aux organisations de traiter les risques associés au vol de propriété intellectuelle commandité par des États, à l'acquisition ciblée de talents et aux partenaires de pays tiers, ainsi que d'y répondre de manière proactive. La société Strider est présente dans 15 pays à travers le monde. Elle possède des bureaux à Salt Lake City, Washington, DC, Londres et Tokyo.
Contact : [email protected]
Share this article