Vecteurs d'attaque de la chaîne logicielle (SOCLE)

Un vecteur d'attaque est une façon concrète dont un attaquant peut s'en prendre à votre chaîne logicielle (le trajet que parcourt votre code, du dépôt jusqu'à la production). Ce catalogue en recense 106, regroupés selon les 16 étapes de ce trajet, du producteur du code jusqu'au cloud d'exécution.

Chaque vecteur est rattaché à une classification reconnue (SLSA pour le build, OWASP pour le CI/CD, MITRE ATT&CK pour les techniques d'attaque) et relié aux exigences SOCLE qui le neutralisent. L'idée est simple : on part de l'attaque pour remonter au contrôle qui l'empêche.

Menace, puis exigence

C'est le principe de la démarche SOCLE : un vecteur sans contre-mesure est un risque ; un vecteur relié à une exigence est un plan d'action.

1 Producteur & gouvernance 3 2 Poste de dev & outillage 6 3 Source & SCM 10 4 Sécurité applicative 7 5 Dépendances 7 6 Intégration 13 7 Packaging & artefacts 4 8 Release 4 9 Registres & publication 5 10 Distribution & consommation 5 11 Déploiement & admission 3 12 Runtime & exploitation 4 13 Secrets & identités 6 14 Intégrations & tierces parties 4 15 IA / ML 8 16 Posture cloud & infrastructure 17

Ces 16 étapes forment la chaîne d'attaque (axe offensif : où l'attaque frappe, du producteur au cloud). À ne pas confondre avec les 16 domaines de contrôle du référentiel (axe défensif : comment on se protège) : libellés voisins, logiques opposées. Chaque vecteur ci-dessous renvoie aux exigences de domaines qui le neutralisent. Cliquez une étape pour ses vecteurs.

1Producteur & gouvernance3 vecteurs

V-GOV-1 Producteur / mainteneur malveillant V-GOV-2 Protestware / sabotage V-GOV-3 Menace interne (insider)

2Poste de dev & outillage6 vecteurs

V-WKS-1 Extension d'IDE malveillante V-WKS-2 Fuite de PAT d'éditeur d'extension V-WKS-3 Squat de recommandation (forks IA) V-WKS-4 Malware sur poste (faux entretien) V-WKS-5 CLI / binaire d'outil piégé V-WKS-6 Outils détournables (RCE par conception)

3Source & SCM10 vecteurs

V-SRC-1 Soumission sans revue V-SRC-2 Self-approval multi-comptes V-SRC-3 Abus de compte robot / bot V-SRC-4 Abus d'exceptions de règles V-SRC-5 Admin qui contourne / désactive les contrôles V-SRC-6 Réécriture d'historique V-SRC-7 Compromission du SCM V-SRC-8 Pwn request (`pull_request_target`) V-SRC-9 Injection de script V-SRC-10 Commit / tag non signé

4Sécurité applicative (code, conception, tests AST)7 vecteurs

V-APP-1 Injection (SQL, commande, XSS, LDAP) V-APP-2 Désérialisation non sécurisée V-APP-3 Secret en clair dans le code source V-APP-4 Dépendance applicative vulnérable exploitée V-APP-5 Faille de conception / logique métier V-APP-6 Vulnérabilité exposée en production faute de test dynamique V-APP-7 Contrôle d'accès défaillant (broken access control)

5Dépendances7 vecteurs

V-DEP-1 Typosquatting V-DEP-2 Dependency confusion / substitution V-DEP-3 Brandjacking / starjacking V-DEP-4 Abus de scripts d'install / lifecycle V-DEP-5 Dépendance transitive malveillante V-DEP-6 Plugin tiers exécuté au build V-DEP-7 Retrait de dépendance

6Intégration, build & pipeline CI13 vecteurs

V-CI-1 PPE direct (d-PPE) V-CI-2 PPE indirect (i-PPE) V-CI-3 PPE public V-CI-4 Empoisonnement de cache CI V-CI-5 Extraction de jeton OIDC en mémoire V-CI-6 Action tierce non épinglée V-CI-7 Build depuis source / fork non officiel V-CI-8 Runner auto-hébergé persistant V-CI-9 Exposition du socket Docker V-CI-10 Évasion de conteneur (escape) V-CI-11 Accès aux périphériques de l'hôte V-CI-12 Compromission de la plateforme CI V-CI-13 Service tiers du pipeline compromis

7Packaging & artefacts4 vecteurs

V-PKG-1 Altération d'artefact post-build V-PKG-2 Secret embarqué dans l'artefact V-PKG-3 Image de base empoisonnée V-PKG-4 Réécriture de tag mutable

8Release, provenance & signature4 vecteurs

V-REL-1 Vol de clé de signature V-REL-2 Falsification de provenance V-REL-3 Provenance valide sur artefact malveillant V-REL-4 Absence de vérification

9Registres & publication5 vecteurs

V-REG-1 Account takeover d'éditeur V-REG-2 Vol / abus de jeton de publication longue durée V-REG-3 Republication par ver (worm) V-REG-4 Push avec credentials d'éditeur valides V-REG-5 Compromission du registre / miroir

10Distribution & consommation5 vecteurs

V-DIST-1 Canal de distribution compromis V-DIST-2 Installeur signé trojanisé V-DIST-3 Persistance dans miroirs / caches V-DIST-4 Sélection du mauvais paquet V-DIST-5 Mauvais usage (misuse)

11Déploiement & admission3 vecteurs

V-ADM-1 Admission d'artefact non conforme V-ADM-2 Contournement de la politique d'admission V-ADM-3 Configuration de déploiement non sécurisée

12Runtime & exploitation4 vecteurs

V-RUN-1 Exfiltration runtime V-RUN-2 Mouvement latéral / persistance V-RUN-3 Wiper / sabotage V-RUN-4 Rootkit noyau / persistance runtime

13Secrets & identités (transversal)6 vecteurs

V-SEC-1 Secret en clair / fuité V-SEC-2 Jeton longue durée volé V-SEC-3 OIDC mal configuré V-SEC-4 Accès IMDS depuis le job V-SEC-5 Récolte de secrets en mémoire runner V-SEC-6 Chemin d'attaque IAM / combinaison toxique

14Intégrations & tierces parties4 vecteurs

V-INTEG-1 App OAuth compromise V-INTEG-2 GitHub App / bot abusé V-INTEG-3 TOCTOU délégué à un bot V-INTEG-4 Intégration SaaS / OAuth tierce abusée

15IA / ML8 vecteurs

V-IA-1 Empoisonnement des données d'entraînement V-IA-2 Modèle / artefact ML empoisonné V-IA-3 Lib d'infra IA piégée V-IA-4 Prompt injection (directe / indirecte) V-IA-5 RAG poisoning / fausse entrée RAG V-IA-6 Outil / skill d'agent empoisonné (MCP) V-IA-7 Persistance via config d'agent V-IA-8 Récolte de credentials via RAG / config d'agent

16Posture cloud & infrastructure (IaaS / conteneurs)17 vecteurs

V-CLD-1 Persistance par ajout d'identifiants / rôles / comptes cloud V-CLD-2 Abus d'élévation temporaire (JIT) V-CLD-3 Vol de données dans le stockage cloud V-CLD-4 Exfiltration vers un compte cloud attaquant V-CLD-5 Snapshot / clone pour exfiltration V-CLD-6 Vol de secrets dans le coffre cloud V-CLD-7 Désactivation / altération de la journalisation cloud V-CLD-8 Contournement / désactivation du MFA V-CLD-9 Détournement de ressources (cryptominage) V-CLD-10 Rançongiciel cloud (destruction / chiffrement) V-CLD-11 Régions cloud inutilisées pour évasion V-CLD-12 Modification de l'infrastructure compute V-CLD-13 Déploiement de conteneur malveillant V-CLD-14 Évasion de conteneur vers l'hôte (K8s) V-CLD-15 Commande d'administration de conteneur (exec) V-CLD-16 Mouvement latéral cluster → cloud V-CLD-17 Accès légal extraterritorial (réquisition par une autorité étrangère)

Prochaines étapes

Les exigences SOCLELe référentiel qui pare ces vecteurs Incidents réelsCes vecteurs, observés en vrai

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →