Affaire Axios : comment l’Open Source devient la cible des attaques de type supply chain
Le piratage d’Axios, fin mars 2026 sur la plateforme npm, a exposé la vulnérabilité d’un écosystème dont dépendent entreprises et administrations. Il montre surtout que les logiciels open source sont au cœur des infrastructures numériques et donc directement exposés aux attaques.
Le 31 mars 2026, l’un des composants les plus banals du web mondial est devenu une porte d’entrée pour des attaquants. Deux versions compromises d’Axios, bibliothèque JavaScript utilisée pour gérer les requêtes HTTP dans des millions d’applications, ont été publiées sur la plateforme npm après la compromission du compte d’un mainteneur. Présentées comme de simples mises à jour, elles intégraient en réalité une dépendance malveillante capable d’installer un cheval de Troie sur Windows, macOS et Linux. Les versions piégées n’ont circulé que quelques heures avant leur retrait. Suffisant pour déclencher une alerte mondiale.
À lire aussi : William Culbert (Pentera) : "L'IA a créé un niveau zéro de la cybercriminalité"
L’affaire Axios n’est pas un incident isolé. Les attaquants ne ciblent pas seulement les entreprises mais les composants logiciels qu’elles utilisent. Et ces briques sont, dans leur immense majorité, open source. Autrement dit, plutôt que d’attaquer mille cibles une par une, il est désormais plus rentable d’empoisonner l’outil qu’elles utilisent toutes.
L’open source, colonne vertébrale de l’économie numérique
Un logiciel open source repose sur un code accessible, modifiable et redistribuable. Ce modèle a permis une accélération spectaculaire de l’innovation : mutualisation des efforts, baisse des coûts, rapidité de déploiement et standardisation technique. Des géants du cloud aux start-up, presque toutes les organisations s’appuient aujourd’hui sur des composants open source. Aujourd’hui, l’open source soutient une grande partie d’Internet. Les serveurs fonctionnent massivement sous Linux, les conteneurs reposent sur Kubernetes, les sites utilisent des frameworks comme React ou Vue, les applications exploitent des bibliothèques JavaScript, Python ou Java open source.
À lire aussi : Tribune - Proposition de Code de la sécurité dans le Cyberespace - Souveraineté, attractivité et protection des citoyens
Selon le rapport 2024 de Synopsys, 96% des bases de code commerciales auditées contiennent des composants open source. Lorsqu’une entreprise développe un service bancaire, une application de livraison ou un outil RH, elle s’appuie déjà sur des dizaines, parfois des centaines de dépendances externes.
Pour les attaquants, mieux vaut compromettre une dépendance installée partout plutôt qu’une entreprise une par une. Plus un composant est banal et intégré aux usages du quotidien, moins il suscite la méfiance. Cette normalité constitue un avantage majeur pour les attaquants, qui profitent d’un climat de confiance technique déjà installé.
Pourquoi les cybercriminels y voient une cible idéale ?
Les groupes cybercriminels raisonnent en rentabilité. Ils recherchent le maximum d’impact pour le minimum d’effort. De ce point de vue, l’open source représente une opportunité exceptionnelle.
Première raison : l’effet de levier. Une attaque classique impose de cibler chaque entreprise séparément : phishing, intrusion, escalade de privilèges, exfiltration. Une attaque via un package populaire permet de court-circuiter ces étapes. Le code malveillant est distribué automatiquement par un canal déjà approuvé. C’est la logique des attaques dites supply chain.
À lire aussi : Cybersécurité cognitive : comment les cybercriminels exploitent les failles du cerveau humain
Le cas SolarWinds en 2020 a illustré cette stratégie à grande échelle. En compromettant la chaîne de mise à jour d’un éditeur logiciel, les attaquants ont pu infiltrer des milliers d’organisations, dont plusieurs agences fédérales américaines.
Deuxième raison : la confiance automatique. Lorsqu’un développeur installe une bibliothèque connue via npm, PyPI ou Maven, il ne perçoit pas ce geste comme risqué. Le package vient d’un registre officiel, son nom est familier et la mise à jour semble légitime.
Troisième raison : la discrétion. Un code malveillant introduit dans une dépendance peut rester invisible longtemps. Il se fond dans un flot d’installations quotidiennes et se diffuse sans alerter immédiatement les équipes de sécurité.
La fragilité de l’open source
Le succès de l’open source repose sur l’assemblage rapide de briques existantes. Une application moderne dépend souvent de composants directs… qui dépendent eux-mêmes d’autres modules. On parle de dépendances transitives. Résultat : une entreprise peut maîtriser son code interne tout en ignorant précisément quelles bibliothèques secondaires tournent réellement dans ses systèmes.
Le rapport 2024 de Sonatype indique que plus de 6,6 billions de téléchargements de packages open source ont été observés en un an, avec une explosion des tentatives d’empoisonnement de packages. Cette massification rend le contrôle difficile.
À lire aussi : Alain Juillet au Risk Summit : la guerre hybride, clé du nouvel ordre mondial ?
Autre fragilité : beaucoup de projets critiques reposent sur de petites équipes, parfois bénévoles. Certains composants utilisés par des multinationales sont maintenus par une ou deux personnes. Cela crée plusieurs risques :
- Fatigue et surcharge des mainteneurs
- Absence d’audit régulier
- Sécurité des comptes parfois insuffisante
- Manque de financement
- Dépendance à une seule personne-clé
Dans le cas d’Axios, le code principal n’a même pas été modifié. Les versions compromises ajoutaient une dépendance malveillante nommée plain-crypto-js, conçue pour ressembler à une bibliothèque légitime. Lors de l’installation, un script automatisé téléchargeait ensuite un second malware depuis un serveur de commande distant. C’est tout l'intérêt économique de ces opérations. Une seule compromission peut toucher simultanément des postes de développeurs, des pipelines CI,CD, des serveurs de production et des secrets sensibles : clé API, identifiants cloud et accès à la base de données. À mesure que les architectures logicielles gagnent en complexité, la capacité de contrôle diminue.
Si les logiciels open source concentrent aujourd’hui des fonctions essentielles et irriguent des milliers de services. En s’attaquant à ces briques communes, les cybercriminels frappent au point de convergence des systèmes modernes. La sécurité informatique ne se joue plus seulement à l’échelle d’une entreprise ou d’un réseau, mais dans la capacité collective à protéger les composants partagés sur lesquels repose désormais une large part du monde connecté.
À mesure que les systèmes se complexifient, les angles morts se multiplient. Les logiciels open source sont devenus une cible majeure parce qu’ils se trouvent au cœur du numérique, utilisés partout, souvent sans contrôle suffisant. Les attaquer, c’est exploiter une dépendance devenue générale plus qu’une faille isolée. La cybersécurité se joue donc aussi dans la protection des briques communes sur lesquelles elles reposent toutes.
.avif)
.avif)