→ En bref : les appareils des développeurs constituent désormais le talon d'Achille de la chaîne logistique logicielle. Aikido Protection protège les appareils contre les attaques visant à installer des logiciels malveillants via les registres de paquets, les extensions d'IDE, les plug-ins de navigateur et les boutiques d'applications. Développez en toute sérénité.
C'est un peu la folie ces derniers temps, hein ?
Rien qu'au mois de mars, le groupe TeamPCP a utilisé des identifiants volés pour mener des attaques en chaîne contre quatre grands projets open source en moins de dix jours : Trivy, Checkmarx , LiteLLM et Telnyx. Quelques jours plus tard, Axios, le client HTTP JavaScript enregistrant plus de 100 millions de téléchargements hebdomadaires, a été compromis à la suite du piratage du compte d'un responsable de maintenance. Cette semaine, Vercel a révélé qu'un pirate avait accédé à ses systèmes internes et à ses variables d'environnement après avoir vraisemblablement compromis une extension Chrome utilisée par l'un de ses employés.
Ces derniers temps, suivre l'actualité de la sécurité donne l'impression de vivre une semaine intermin able :
Et si tu te sens mis à l'écart, tiens bon.
En l'espace de douze mois, nous sommes passés de failles impliquant un seul paquet à des vers autoréplicatifs, puis à des détournements complets de pipelines CI/CD s'enchaînant d'un registre à l'autre. Les pirates s'adaptent plus vite que nous ne parvenons à déployer des correctifs.
« Avant, il fallait de réelles compétences pour concevoir une attaque de type supply chain. Il fallait maîtriser les registres de paquets, les pipelines CI/CD, les techniques d’obfuscation et savoir écrire des charges utiles capables d’échapper à la détection. Aujourd’hui, il suffit d’un abonnement à ChatGPT à 8 $. On n’a même plus besoin de savoir ce qu’est npm pour écrire un logiciel malveillant qui se propage via ce canal.
Demandez à un modèle de créer un hook post-installation qui exfiltre les variables d’environnement, et il le fera. Demandez-lui d'obfusquer la charge utile, et il le fera. L'attaque s'est démocratisée. La défense s'est améliorée, mais pas au même rythme. »
D'un autre côté, les agents de codage basés sur l'IA téléchargent des paquets, lancent des outils et ajoutent des compétences de manière autonome, sans que l'on puisse vraiment contrôler ce qui est installé. Où tout cela nous mène-t-il ?
Le nouveau terminal : les appareils des développeurs
Ces attaques ont toutes la même cible : l'appareil du développeur lui-même. Pourquoi ?
Les appareils des développeurs constituent des environnements de confiance qui détiennent les clés du château : cloud , clés SSH, jetons de publication npm, configurations Kubernetes, accès direct au code source et à l'environnement de production. Si l'un d'entre eux est compromis, le champ d'action des répercussions est énorme. Un seul identifiant compromis a suffi pour publier des versions malveillantes de paquets légitimes, provoquant ainsi des compromissions au sein de milliers d'organisations.
Les appareils des développeurs ne sont-ils donc pas protégés par les outils existants ? Non. C'est justement là le problème. Les outils de sécurité sur lesquels s'appuient la plupart des entreprises – la protection traditionnelle des terminaux (EDR) pour détecter les menaces au niveau du système d'exploitation et la gestion des appareils mobiles (MDM) pour contrôler les installations – ont été conçus pour un monde où les binaires étaient signés et où les attaques visaient principalement les systèmes d'exploitation. Et ils n'ont certainement pas été conçus pour les développeurs d'aujourd'hui.
Les logiciels installés aujourd'hui sur les machines des développeurs sont des paquets de code, des extensions d'IDE, des extensions de navigateur, des outils d'IA et des serveurs MCP. Il s'agit de logiciels en texte clair, non compilés. L'EDR ne détecte pas les commandes « npm install ». Le MDM ignore le fonctionnement d'une extension MCP.
Les appareils des développeurs constituent désormais le talon d'Achille de la chaîne d'approvisionnement logicielle.
Le statu quo ne fonctionne pas
Sans outils adaptés aux besoins des développeurs, la plupart des entreprises se retrouvent confrontées à l'une de ces deux situations délicates.
- Ils bloquent tout. Aucune installation n'est autorisée. Des registres privés, de véritables murs de fer entre les développeurs et l'Internet ouvert. Cela peut convenir à des entreprises fortement réglementées comme les banques, mais ça ralentit considérablement tout le reste. C'est tellement restrictif que les développeurs se battent pour obtenir des dérogations étendues ou trouvent des solutions de contournement, comme utiliser un deuxième ordinateur portable ou désactiver les VPN, ce qui ne fait qu'aggraver le problème.
- Ils autorisent et prient. N'ayant aucun moyen efficace de contrôler ce que les développeurs installent, ils espèrent simplement que tout se passera bien, en s'appuyant sur la rotation des secrets et des politiques d'accès restreint. C'est ainsi que fonctionnent la plupart des entreprises.
Ou bien ils combinent les deux approches, en procédant à un examen manuel au cas par cas. Cela n'est pas évolutif (évidemment). Aucune de ces solutions ne fonctionne.
« Dans le monde des affaires, la productivité des développeurs prime sur toute autre considération, et ces machines bénéficient généralement d’exceptions importantes aux contrôles habituels, ce qui crée d’énormes angles morts au sein des organisations… ou bien le jeu n’en vaut tout simplement pas la chandelle pour prévenir d’éventuelles failles, surtout quand on sait que cela entraînerait inévitablement une réaction négative de la part des développeurs. » (James Berthoty)
Les entreprises ne peuvent pas se permettre de ralentir leur développement, ni de laisser leurs systèmes sans protection. C'est pourquoi nous avons développé Aikido Protection.
Présentation Aikido Protection
Aikido Protection est la couche de sécurité installée sur les appareils des développeurs, qui vous offre une visibilité, un contrôle et une protection sur les logiciels installés sur les postes de travail de vos ingénieurs.
Grâce à Aikido Protection, les équipes peuvent :
- Bénéficiez d'une visibilité totale sur votre chaîne logistique logicielle : identifiez toutes les extensions de navigateur, bibliothèques de code, plugins IDE et dépendances de compilation installées sur les appareils de votre équipe.
- Bloquez les logiciels malveillants avant même qu'ils ne s'installent : Aikido identifieAikido les paquets et les installations malveillants, et les bloque avant qu' ils n'atteignent l'appareil
- Appliquer un âge minimum aux paquets : définissez vos propres critères de maturité des paquets avant leur utilisation, réduisez les fenêtres de risque
- Bloquez certains écosystèmes : empêchez toute installation provenant de n'importe quel écosystème ou boutique d'applications lorsque votre équipe n'en a pas besoin.
- Demander une autorisation pour les nouveaux logiciels : permettez aux membres de l'équipe de demander des installations tout en laissant aux administrateurs le contrôle sur ce qui est approuvé, et définissez des règles d'équipe, des exceptions et des workflows.
Concrètement, cela donne :
Un développeur installe une extension VS Code qui semble légitime, fonctionne comme annoncé, mais qui, à son lancement, installe discrètement un cheval de Troie d'accès à distance. Le système de protection des terminaux la compare au flux de menaces Aikido et la bloque avant qu'elle ne s'active. C'est exactement ce que nous avons constaté en janvier avec une fausse extension Clawdbot.
Un développeur exécute la commande « npm i axios », qui tente de récupérer la dernière version. Cette version a été publiée il y a une heure. Le point de terminaison se rabat sur la version la plus récente qui respecte la politique d'âge minimum de 48 heures. Dans le cas de l'attaque Axios, la dépendance malveillante de type « dropper » avait été pré-déployée moins de 24 heures avant que les versions compromises ne l'intègrent. La vérification de l'âge aurait à elle seule bloqué l'infection.
Dans tous nos produits, nous restons résolument fidèles à notre objectif : permettre aux développeurs de se concentrer à nouveau sur le développement. Pour les développeurs, Aikido Protection est conçu pour passer inaperçu. Développez en toute liberté. Les installations sécurisées se déroulent sans interruption. Si un élément malveillant est détecté, il est bloqué avant même d'atteindre la machine. Si vous en oubliez la présence, c'est exactement le but recherché. [...Insérez ici une métaphore clichée sur le fait que vous êtes content de porter un casque le jour où vous avez un accident]
Pour les équipes de sécurité, la solution Aikido Protection est conçue pour vous offrir visibilité et contrôle, sans ralentir le développement. Définissez vos propres politiques d'équipe, créez des listes d'autorisation pour les outils approuvés, mettez en place des workflows de demande et d'approbation, bénéficiez d'une piste d'audit complète et d'une visibilité sur tous les appareils des développeurs au sein de l'organisation. Déployez facilement la solution via votre solution MDM existante.
Conçu sur la base de technologies ouvertes
L'année dernière, nous avons lancé Safe Chain, un serveur proxy open source qui encapsule l'interface en ligne de commande (CLI), bloquant les paquets malveillants avant leur installation et imposant un délai minimum de 48 heures pour l'âge des paquets. Avec plus de 200 000 téléchargements hebdomadaires, Safe Chain offre une protection aussi bien aux développeurs individuels qu'aux équipes d'entreprise. Si vous utilisiez Safe Chain, les attaques Shai-Hulud, TeamPCP et Axios ont été bloquées.
Safe Chain est la version de base. Nous continuerons à investir dans ce projet. Il restera open source. Endpoint en est l'évolution, avec des fonctionnalités étendues, une facilité de déploiement, des contrôles de gouvernance et un tableau de bord centralisé.
Safe Chain et Endpoint s'appuient tous deux sur Aikido , notre renseignement sur les menaces basé sur un modèle de langage de grande envergure (LLM). Aikido surveille l'Internet ouvert et signale les logiciels malveillants ainsi que les vulnérabilités pré-CVE dans les écosystèmes open source dès leur détection. En ce qui concerne plus particulièrement les logiciels malveillants, Aikido analyse désormais plus de 100 000 projets suspects par jour, contre 20 000 à la même période l'année dernière, et identifie les logiciels malveillants dans les minutes qui suivent leur publication.
Aikido s'appuie sur une équipe dédiée de chercheurs en sécurité et d'ingénieurs en intelligence artificielle. Nous publions automatiquement toutes les découvertes relatives aux menaces, faisant Aikido votre première source d'alerte face aux menaces pesant sur la chaîne d'approvisionnement. Gratuit. Open source. → https://intel.aikido.dev/
Commencez dès maintenant (oui, il existe une formule gratuite)
La protection Aikido est disponible dans toutes les formules. La protection npm et PyPI est incluse gratuitement.
Pour les politiques personnalisées, les workflows de validation, la surveillance des extensions VS Code, la surveillance des modules complémentaires de navigateur et les écosystèmes supplémentaires, un abonnement supplémentaire par appareil est requis.
Pour découvrir comment Endpoint peut protéger vos développeurs, Planifiez une démo, commencez gratuitement ou participez à notre démonstration en direct ce jeudi à 9 h (heure du Pacifique).
Construisez sans crainte
Cette année a été difficile, ou comme le dit Charlie de manière poétique (quoique sombre) : « À l'heure actuelle, nos chaînes d'approvisionnement ne sont plus du tout des chaînes. Ce sont des fils lâches qui s'effilochent. »
Endpoint permet de régler ces derniers détails. Évaluez vos risques. Prévenez les attaques. Et surtout, permettez aux développeurs de créer sans interruption… et sans crainte.
- Madeline, Aikido
P.S. Même si « build fearlessly » frôle dangereusement le cliché d’un coussin de canapé brodé « live, laugh, love » que je brûlerais sans hésiter… ça marche. C’est percutant.
J’ai le libre arbitre et le pouvoir d’agir. Aujourd’hui, je fais usage des deux. Slogan = c’est décidé.
