MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
SentinelOne® (NYSE:S), leader de la sécurité basée sur l’IA, alerte sur une attaque majeure de la supplychain logicielle ayant compromis le site officiel de CPU-Z (utilitaire système gratuit pour Windows qui permet d’afficher les composantes clé d’un ordinateur sous Windows) via son bouton de téléchargement officiel. Pendant près de 19 heures, des utilisateurs pensant télécharger l’outil depuis sa source légitime ont en réalité reçu une version infectée intégrant un cheval de Troie d’accès à distance (RAT).
Des attaquants ont pris le contrôle de l’API de distribution du site cpuid.com, redirigeant de manière invisible les téléchargements vers une infrastructure malveillante. Le logiciel conservait toutes les apparences du site légitime : signature valide, provenance officielle, absence de signaux d’alerte visible pour l’utilisateur. Autrement dit, toutes les bonnes pratiques étaient respectées. C’est la chaîne de confiance elle-même qui a été compromise.
L’attaque a été détectée en quelques secondes par la technologie EDR de SentinelOne, non pas grâce à l’analyse statique du fichier (qui ne révélait aucune anomalie) mais grâce à l’observation de son comportement à l’exécution. Celle-ci a révélé une chaîne de processus inhabituels, impliquant PowerShell et d’autres outils système. Le malware déployé, un RAT avancé et fonctionnant entièrement en mémoire, permettait un accès distant complet, le vol d’identifiants ainsi que la persistance sur la machine sur les machines compromises. Ce type d’attaque vise à établir un accès durable et discret, particulièrement difficile à détecter sans capacités avancées d’analyse comportementale.
Plus de 150 entreprises victimes de cette attaque ont déjà été identifiées mais ce chiffre est probablement sous-estimé. CPU-Z est largement utilisé par des professionnels IT (administrateurs, développeurs, ingénieurs sécurité) disposant souvent d’accès privilégiés aux systèmes critiques. La compromission, d’un seul poste peut servir de point d’entrée à des attaques de plus grande ampleur.
Ce type d’opération s’inscrit dans un modèle désormais bien établi : les attaquants cherchent à obtenir un point d’entrée initial qu’ils peuvent ensuite monétiser auprès d’autres groupes cybercriminels. Ces accès sont fréquemment exploités dans les semaines suivantes pour mener des attaques plus dommageables, notamment des campagnes de ransomware, ce qui impose une vigilance prolongée même après remédiation.
Cette attaque met en lumière une évolution structurelle des menaces. Les attaquants exploitent désormais des identités et des canaux légitimes, jusqu’à compromettre les infrastructures de distribution elles-mêmes. Comme le souligne SentinelOne « le basculement s’étend profondément à la chaîne d’approvisionnement logicielle, où l’identité d’un développeur de confiance devient le vecteur d’attaque ».
Dans ce contexte, la confiance accordée à la provenance d’un logiciel ne constitue plus une garantie de sécurité suffisante. Lorsque la compromission intervient au niveau du canal de distribution, aucune vérification préalable ne peut protéger pleinement l’utilisateur. La capacité à analyser le comportement des logiciels au moment de leur exécution devient donc essentielle pour détecter et bloquer les menaces.
