Poste de dev & outillage : vecteurs d'attaque (SOCLE)

L'étape Poste de dev & outillage de la chaîne logicielle regroupe 6 vecteurs d'attaque, ancrés dans CNCF Dev Tooling · SLSA (hors périmètre). Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Extension d'IDE malveillante

Fuite de PAT d'éditeur d'extension

Squat de recommandation (forks IA)

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-WKS-1Extension d'IDE malveillante

Une extension d'éditeur (VS Code, JetBrains), même sous un éditeur d'apparence vérifiée, embarque du code malveillant exécuté sur le poste du développeur. Elle vole identifiants, jetons et clés, ou installe un RAT, en s'exécutant avec les droits du dev et l'accès à ses dépôts et secrets.

Ancré dansCNCF Dev Tooling

Exigences qui le neutralisent SOCLE-WKS-GEN-6SOCLE-WKS-DEV-4SOCLE-WKS-DEV-7SOCLE-WKS-DEV-8

V-WKS-2Fuite de PAT d'éditeur d'extension

Le jeton de publication (PAT) d'un éditeur d'extension fuite, permettant de pousser une mise à jour piégée diffusée automatiquement à toute la base installée. Une seule fuite de jeton compromet des milliers de postes via le canal de mise à jour de confiance.

Ancré dansCNCF Dev Tooling, CNCF Publishing

Exigences qui le neutralisent SOCLE-WKS-GEN-6SOCLE-WKS-DEV-4SOCLE-REL-GEN-6SOCLE-REL-PUB-1SOCLE-WKS-DEV-7

V-WKS-3Squat de recommandation (forks IA)

Un assistant IA ou une documentation recommande une extension ou un paquet dont le nom n'existe pas encore ; l'attaquant enregistre ce nom (squat) pour livrer du code malveillant aux utilisateurs qui suivent la recommandation. La surface naît de la confiance aveugle dans les suggestions automatisées.

Ancré dansCNCF Dev Tooling

Exigences qui le neutralisent SOCLE-WKS-GEN-6SOCLE-WKS-DEV-4SOCLE-WKS-DEV-7SOCLE-WKS-DEV-8

V-WKS-4Malware sur poste (faux entretien)

Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail).

Ancré dansCNCF Dev Tooling, SoK

Exigences qui le neutralisent SOCLE-WKS-GEN-3SOCLE-WKS-PRV-4SOCLE-WKS-GEN-1SOCLE-WKS-GEN-2SOCLE-WKS-GEN-5SOCLE-WKS-HRD-1SOCLE-WKS-HRD-2SOCLE-WKS-HRD-3SOCLE-WKS-HRD-4SOCLE-WKS-HRD-5SOCLE-WKS-PRV-1SOCLE-WKS-PRV-2SOCLE-WKS-PRV-3SOCLE-WKS-PRV-5SOCLE-CLD-CMP-6

V-WKS-5CLI / binaire d'outil piégé

Un outil en ligne de commande est installé depuis une source non vérifiée (curl | sh, miroir non officiel) et son binaire est trojanisé. L'installation, exécutée avec les droits du poste, ouvre un accès ou vole des secrets avant même tout usage.

Ancré dansCNCF Dev Tooling

Exigences qui le neutralisent SOCLE-WKS-GEN-4SOCLE-WKS-DEV-1SOCLE-WKS-DEV-6SOCLE-WKS-GEN-5

V-WKS-6Outils détournables (RCE par conception)

Un linter, formateur, framework de test ou outil de build exécute du code arbitraire par conception, via un fichier de configuration, un plugin ou une variable d'environnement contrôlés par l'attaquant (Living Off the Pipeline). Aucune faille n'est nécessaire : la fonctionnalité légitime sert d'exécution.

Ancré dansLOTP, CICD-SEC-4

Exigences qui le neutralisent SOCLE-INT-GEN-9SOCLE-WKS-LOT-1SOCLE-WKS-LOT-2SOCLE-WKS-LOT-3SOCLE-WKS-LOT-4SOCLE-WKS-LOT-5

Prochaines étapes

Étape suivante : Source & SCMVecteurs suivants de la chaîne Panorama des vecteursLes 16 étapes de la chaîne

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →