Aller au contenu
Sécurité medium

Release, provenance & signature : vecteurs d'attaque (SOCLE)

2 min de lecture

L'étape Release, provenance & signature de la chaîne logicielle regroupe 4 vecteurs d'attaque, ancrés dans SLSA (F) · CNCF Trust & Signing. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Vol de clé de signature
Falsification de provenance
Provenance valide sur artefact malveillant

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-REL-1Vol de clé de signature
La clé privée de signature des artefacts est volée (stockage en clair, longue durée, hors HSM), permettant de signer des livrables malveillants présentés comme authentiques. La signature, censée prouver l'authenticité, est retournée contre les consommateurs.
Ancré dansCNCF Trust & Signing
V-REL-2Falsification de provenance
L'attestation de provenance est forgée ou altérée pour faire croire qu'un artefact provient d'un build légitime. Sans provenance non falsifiable (build isolé, signature), la traçabilité est trompeuse.
V-REL-3Provenance valide sur artefact malveillant
Le build est compromis en amont, si bien que la provenance est techniquement valide mais atteste d'un artefact malveillant. La provenance prouve l'origine, pas l'innocuité : un build corrompu produit une attestation correcte d'un mauvais résultat.
V-REL-4Absence de vérification
Le consommateur n'utilise ni la signature ni la provenance avant de consommer un artefact, annulant tout le bénéfice de leur génération. La chaîne de confiance ne tient que si le dernier maillon vérifie.
Ancré dansSLSA (verification)

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn