L'étape Distribution & consommation de la chaîne logicielle regroupe 5 vecteurs d'attaque, ancrés dans SLSA (G)(H)(I). Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.
Canal de distribution compromis
Installeur signé trojanisé
Persistance dans miroirs / caches
Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.
Vecteurs d'attaque
Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.
V-DIST-1Canal de distribution compromis
Le canal par lequel le logiciel est distribué (site de téléchargement, CDN, miroir, mise à jour) est compromis pour livrer une version trojanisée aux utilisateurs finaux. La compromission frappe en aval de la production, au plus près des victimes.
V-DIST-2Installeur signé trojanisé
Un installeur officiel et signé est modifié à la source ou au build pour embarquer une charge, distribué via le canal légitime (cas CCleaner, 3CX). La signature valide endort la méfiance.
V-DIST-3Persistance dans miroirs / caches
Une version malveillante persiste dans des miroirs ou caches même après retrait à la source, continuant d'être servie aux clients qui s'y approvisionnent. Le retrait à la source ne suffit pas à éradiquer la menace.
V-DIST-4Sélection du mauvais paquet
Le consommateur choisit, par erreur ou tromperie, un paquet ou une version différente de celle voulue (homonyme, mauvais canal, mauvaise version). L'erreur de sélection court-circuite toutes les protections en amont.
V-DIST-5Mauvais usage (misuse)
Un artefact légitime est utilisé de façon non prévue ou dans un contexte non sécurisé, créant un risque que la chaîne technique ne couvre pas. La sécurité dépend aussi de l'usage, pas seulement de la fabrication.