L'étape Intégrations & tierces parties de la chaîne logicielle regroupe 4 vecteurs d'attaque, ancrés dans CICD-SEC-8. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.
App OAuth compromise
GitHub App / bot abusé
TOCTOU délégué à un bot
Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.
Vecteurs d'attaque
Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.
V-INTEG-1App OAuth compromise
Une application OAuth autorisée sur l'organisation est compromise et abuse de ses portées d'accès au code, aux secrets ou aux pipelines. La confiance accordée à une intégration tierce devient un accès attaquant (cas Heroku / Travis).
V-INTEG-2GitHub App / bot abusé
Une GitHub App ou un bot disposant de permissions élevées est détourné pour agir sur les dépôts ou les workflows. Les privilèges de l'automate dépassent souvent le besoin, élargissant l'impact d'un abus.
V-INTEG-3TOCTOU délégué à un bot
Un écart entre le moment de la vérification et le moment de l'usage (TOCTOU), exploité via un bot, permet de substituer un contenu validé par un contenu malveillant. La fenêtre entre contrôle et action est l'angle d'attaque.
V-INTEG-4Intégration SaaS / OAuth tierce abusée
Une application OAuth ou intégration SaaS de confiance, au-delà du SCM/CI (CRM, support, observabilité), est compromise ou abusée : consentement OAuth détourné, jetons volés, contournement MFA, pour persister et exfiltrer des données (ex. campagne Salesloft/Drift 2025). La confiance accordée à une intégration tierce devient un accès latéral au SI.