Docker Hub - images malveillantes

Point de compromission dans la chaîne Rupture · étape Packaging

Source

amont

Dépendances

deps

Build & CI

ci

Packaging

Packaging

Release

provenance

Registres

distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape Packaging, propagation possible aux consommateurs. Domaines : Orchestration, Intégration, Packaging, Release, Fournisseurs

Gravité critique

Vague d'images de conteneurs malveillantes publiées sur Docker Hub (cryptomineurs, portes dérobées).

1 652

images malveillantes

250 000+

images analysées

cryptomineurs

catégorie n°1

Sysdig

découverte

En bref

Date

30/06/2022

Gravité

Critique

Étape de la chaîne

Packaging

Domaines SOCLE

Orchestration+ Intégration, Packaging, Release, Fournisseurs

Que s'est-il passé ?

Contexte

Docker Hub, la plus grande bibliothèque publique d'images de conteneurs, héberge des centaines de milliers d'images. Des chercheurs de Sysdig y analysent 250 000+ images Linux non vérifiées.

Mécanisme

Ils identifient 1 652 images malveillantes : majoritairement des cryptomineurs, mais aussi des secrets embarqués et des outils de contournement de proxy. La taille du dépôt public empêche un contrôle quotidien exhaustif des téléversements.

Impact

Beaucoup d'images malveillantes passent inaperçues ; comme la plupart des acteurs n'en publient que quelques-unes, bannir un compte n'enraye guère la menace. Toute image tirée sans vérification expose l'hôte.

Parades

Images de base de confiance (registres vérifiés, images signées), scan systématique avant exécution (Trivy, Grype), épinglage par digest, et interdiction du pull d'images non vérifiées en CI.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-PKG-3 Image de base empoisonnée V-DIST-1 Canal de distribution compromis

La leçon à en tirer

Ce qu'il faut retenir

Allowlist des images de base ; scan avant usage ; admission par signature.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 16 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Fournisseurs SOCLE-FRN-CTR-3SOCLE-FRN-DLV-1SOCLE-FRN-DLV-3SOCLE-FRN-GEN-3SOCLE-FRN-GEN-4SOCLE-FRN-SUP-2

Intégration SOCLE-INT-GEN-10SOCLE-INT-GEN-11SOCLE-INT-GEN-7

Orchestration SOCLE-ORC-EXE-6SOCLE-ORC-ITG-1SOCLE-ORC-ITG-2SOCLE-ORC-ITG-3

Packaging SOCLE-PKG-IMG-1SOCLE-PKG-SCN-1

Release SOCLE-REL-GEN-3

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : PackagingLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →