Dépendances : vecteurs d'attaque (SOCLE)

L'étape Dépendances de la chaîne logicielle regroupe 7 vecteurs d'attaque, ancrés dans SLSA (dépendances)(H) · CNCF Negligence · SoK « paquet distinct ». Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Typosquatting

Dependency confusion / substitution

Brandjacking / starjacking

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-DEP-1Typosquatting

Un paquet malveillant porte un nom très proche d'un paquet légitime (faute de frappe, tiret, ordre des mots) pour être installé par erreur. L'attaque mise sur l'inattention au moment d'ajouter une dépendance.

Ancré dansSLSA (H), CNCF Negligence, SoK

Exigences qui le neutralisent SOCLE-INT-GEN-5SOCLE-INT-OSS-1SOCLE-FRN-OSS-1

V-DEP-2Dependency confusion / substitution

Un paquet public est publié sous le nom d'un paquet interne ; le gestionnaire, mal configuré, préfère la version publique de plus haut numéro et tire le code de l'attaquant. La confusion entre registre interne et public livre l'exécution au build.

Ancré dansSoK, CICD-SEC-3

Exigences qui le neutralisent SOCLE-INT-GEN-2SOCLE-INT-GEN-3SOCLE-INT-OSS-2SOCLE-INT-DEP-3

V-DEP-3Brandjacking / starjacking

L'attaquant usurpe la réputation d'un projet légitime (nom de marque, étoiles, métadonnées pointant vers un dépôt populaire) pour faire passer un paquet malveillant pour de confiance. La crédibilité empruntée trompe l'évaluation.

Ancré dansSoK

Exigences qui le neutralisent SOCLE-INT-GEN-5

V-DEP-4Abus de scripts d'install / lifecycle

Un paquet exécute du code arbitraire via ses scripts de cycle de vie (postinstall, preinstall) dès l'installation, avant tout usage. L'ajout d'une dépendance suffit à déclencher la charge.

Ancré dansSoK, LOTP

Exigences qui le neutralisent SOCLE-INT-GEN-9SOCLE-WKS-LOT-2SOCLE-INT-OSS-1SOCLE-WKS-LOT-5SOCLE-FRN-OSS-1

V-DEP-5Dépendance transitive malveillante

La charge malveillante n'est pas dans la dépendance directe mais dans une dépendance de dépendance, invisible sans analyse du graphe complet. La profondeur de l'arbre de dépendances masque l'origine du risque.

Ancré dansSLSA (dépendances)

Exigences qui le neutralisent SOCLE-INT-OSS-3SOCLE-INT-GEN-1SOCLE-INT-DEP-1SOCLE-PKG-GEN-1SOCLE-SRC-FRK-3SOCLE-INT-DEP-2SOCLE-INT-DEP-3SOCLE-PKG-SBM-1SOCLE-PKG-SBM-2SOCLE-PKG-SBM-3SOCLE-PKG-SCN-1SOCLE-FRN-GEN-3SOCLE-FRN-DEV-2SOCLE-FRN-DLV-1SOCLE-FRN-OSS-2SOCLE-FRN-OSS-3SOCLE-VLN-GEN-1SOCLE-VLN-GEN-2SOCLE-VLN-GEN-3SOCLE-VLN-GEN-5SOCLE-VLN-INV-1SOCLE-VLN-INV-2SOCLE-VLN-INV-3SOCLE-VLN-VEX-1SOCLE-VLN-VEX-2SOCLE-VLN-VEX-3SOCLE-VLN-REM-1SOCLE-VLN-REM-2SOCLE-VLN-REM-3SOCLE-VLN-REM-4SOCLE-VLN-DIS-1SOCLE-VLN-DIS-2SOCLE-VLN-DIS-3SOCLE-VLN-DIS-4

V-DEP-6Plugin tiers exécuté au build

Un plugin ou une extension de l'outil de build (Gradle, Maven, bundler) exécute du code au moment de la construction, hors de toute revue du code applicatif. Le build devient un vecteur d'exécution tierce.

Ancré dansSoK, LOTP

Exigences qui le neutralisent SOCLE-INT-GEN-9SOCLE-WKS-LOT-3SOCLE-INT-GEN-4

V-DEP-7Retrait de dépendance

Une dépendance est retirée ou dépubliée (unpublish, yank), cassant les builds et poussant à des substitutions hâtives, parfois vers un remplacement malveillant. La disponibilité de la chaîne est attaquée (cas left-pad).

Ancré dansSLSA (disponibilité)

Exigences qui le neutralisent SOCLE-INT-GEN-3SOCLE-FRN-GEN-1SOCLE-GOV-INV-1SOCLE-GOV-INV-2SOCLE-GOV-INV-3SOCLE-INT-VER-3SOCLE-FRN-OSS-2SOCLE-FRN-SUP-1SOCLE-FRN-SUP-3SOCLE-FRN-SOV-2

Prochaines étapes

Étape suivante : Intégration, build & pipeline CIVecteurs suivants de la chaîne Panorama des vecteursLes 16 étapes de la chaîne

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →