L’attaque Trivy : un scanner de sécurité transformé en arme
Fin février 2026, l’acteur malveillant TeamPCP a exploité une mauvaise configuration dans l’environnement GitHub Actions de Trivy, un scanner de sécurité open source largement utilisé et développé par Aqua Security. La vulnérabilité, désormais répertoriée sous CVE-2026-33634 avec un score CVSS critique de 9.4, a permis aux attaquants d’obtenir un jeton d’accès privilégié. Après que le confinement initial d’Aqua Security s’est avéré incomplet — la rotation des identifiants n’était pas atomique, c’est-à-dire que tous les identifiants n’ont pas été révoqués simultanément — TeamPCP a frappé de nouveau.
Le 19 mars, ils ont utilisé des identifiants compromis encore actifs pour publier une version malveillante Trivy v0.69.4 et ont forcé la mise à jour de 76 des 77 tags de version dans le dépôt GitHub trivy-action vers un malware voleur d’identifiants. L’infostealer intégré extrayait les secrets de la mémoire des runners CI/CD — identifiants AWS, GCP et Azure, clés SSH, mots de passe de bases de données et jetons Kubernetes — tandis que le scan Trivy légitime continuait de fonctionner normalement. Comme canal d’exfiltration de secours, le malware utilisait les jetons GitHub volés pour créer des dépôts publics dans les comptes des victimes et chargeait les données volées chiffrées comme assets de release.
La Commission européenne, qui exécutait la version compromise de Trivy dans son pipeline CI/CD, a détecté une activité anormale de l’API AWS le 24 mars. À ce stade, environ 340 Go de données non compressées — incluant des noms, adresses e-mail et messages provenant de jusqu’à 71 entités de l’UE — avaient été exfiltrées du service d’hébergement web Europa.eu. Mandiant a estimé que plus de 1 000 environnements SaaS étaient affectés. La campagne a également touché Checkmarx KICS et LiteLLM, démontrant qu’une seule compromission de la chaîne d’approvisionnement peut se propager à travers tout un écosystème.
Pourquoi l’Algérie doit agir maintenant
Le paysage de la cybersécurité en Algérie traverse un moment charnière. La Stratégie nationale de cybersécurité 2025-2029, adoptée par le décret présidentiel n° 25-321 en décembre 2025, définit quatre objectifs stratégiques : des systèmes d’information résilients, un écosystème national de cybersécurité, des ressources humaines qualifiées et une coopération internationale. Une semaine plus tard, le décret présidentiel n° 26-07 a imposé à chaque institution publique la création d’une unité de cybersécurité dédiée, rattachée directement à la direction de l’organisme et coordonnée avec l’ASSI, l’Agence de sécurité des systèmes d’information sous tutelle du ministère de la Défense nationale.
Parallèlement, la transformation numérique de l’Algérie s’accélère. Le gouvernement a lancé plus de 500 projets numériques pour 2025-2026, dont 75 % visent la modernisation des services publics. Les universités développent une distribution Linux nationale. Les développeurs algériens contribuent de plus en plus aux logiciels open source et les consomment — et le pays a subi plus de 70 millions de cyberattaques en 2024, se classant au 17e rang mondial parmi les nations les plus ciblées.
Cette empreinte open source croissante est un atout — elle réduit la dépendance aux fournisseurs, développe les compétences locales et accélère l’innovation. Mais la faille Trivy montre que l’adoption de l’open source sans hygiène de la chaîne d’approvisionnement crée des angles morts. La bonne nouvelle : les organisations algériennes peuvent anticiper ce risque en adoptant des pratiques éprouvées dès maintenant, pendant que le cadre institutionnel est encore en construction.
Publicité
Cinq pratiques que les équipes algériennes peuvent adopter dès aujourd’hui
1. Ancrer les dépendances à des références immuables
Les attaquants de Trivy ont réussi parce que les organisations référençaient les GitHub Actions par des tags de version mutables. Lorsque ces tags ont été forcés vers des commits malveillants, chaque pipeline CI/CD qui les référençait a silencieusement récupéré le code compromis.
Ce qu’il faut faire : Ancrez toutes les GitHub Actions, images de conteneurs et dépendances de paquets à des SHA de commit spécifiques ou des empreintes cryptographiques — jamais à des tags de version ou des étiquettes « latest ». Par exemple, référencez `aquasecurity/trivy-action@57a97c7e` plutôt que `aquasecurity/trivy-action@v1`. Les organisations qui avaient ancré leurs références à des SHA n’ont pas été affectées par cette attaque.
2. Générer et surveiller les nomenclatures logicielles (SBOM)
Un SBOM est un inventaire de chaque composant de votre logiciel. Lorsqu’une vulnérabilité comme CVE-2026-33634 est divulguée, un SBOM à jour permet de répondre en quelques minutes : « Sommes-nous concernés ? » Sans cette nomenclature, les équipes passent des jours voire des semaines à auditer manuellement leurs systèmes.
Ce qu’il faut faire : Intégrez la génération de SBOM dans votre pipeline CI/CD en utilisant les formats SPDX ou CycloneDX. Automatisez la surveillance continue afin que les vulnérabilités nouvellement divulguées soient automatiquement croisées avec l’inventaire de vos composants. Le Cyber Resilience Act de l’UE exigera des SBOM pour tous les produits vendus en Europe d’ici décembre 2027 — les exportateurs et partenaires technologiques algériens ont tout intérêt à anticiper.
3. Adopter la provenance de build SLSA
Supply-chain Levels for Software Artifacts (SLSA), prononcé « salsa », est un framework développé à l’origine par Google et désormais gouverné par l’Open Source Security Foundation. Il a récemment atteint le statut Graduated à l’OpenSSF, reflétant sa maturité et son adoption large. SLSA v1.0 établit trois niveaux progressifs d’intégrité de build — de la génération de provenance de base (Niveau 1) aux plateformes de build renforcées résistantes à la falsification (Niveau 3).
Ce qu’il faut faire : Commencez au SLSA Build Level 1 — assurez-vous que tous les builds s’exécutent à partir de code source versionné avec des processus de build scriptés et auditables qui produisent des métadonnées de provenance. Progressez vers le Niveau 2 en utilisant une plateforme de build hébergée qui génère une provenance authentifiée et infalsifiable. Même une adoption partielle de SLSA aurait aidé les organisations à vérifier que les binaires Trivy reçus correspondaient au processus de build attendu.
4. Imposer une rotation atomique des identifiants
Une défaillance majeure dans l’incident Trivy a été que la rotation des identifiants après la compromission initiale n’était pas atomique. Certains identifiants sont restés valides, offrant à TeamPCP la fenêtre nécessaire pour lancer leur deuxième attaque, plus dévastatrice, le 19 mars.
Ce qu’il faut faire : Développez et répétez un plan de réponse aux incidents qui traite la rotation des identifiants comme une opération tout-ou-rien. Lorsqu’une compromission est suspectée, révoquez simultanément tous les jetons, clés API et identifiants d’accès potentiellement affectés avant d’émettre des remplacements. Testez ce processus régulièrement par des exercices de simulation. Les nouvelles unités de cybersécurité imposées par le décret 26-07 devraient intégrer cette capacité dès le premier jour.
5. Vérifier les outils de sécurité avec la même rigueur que les dépendances applicatives
L’ironie la plus profonde de la faille Trivy est que Trivy est lui-même un scanner de sécurité — un outil en lequel les organisations placent leur confiance pour les protéger. TeamPCP a délibérément ciblé les outils de sécurité parce qu’ils s’exécutent généralement avec des privilèges élevés dans les environnements CI/CD.
Ce qu’il faut faire : Appliquez à vos outils de sécurité la même vérification zero-trust que celle appliquée aux dépendances applicatives. Surveillez les canaux de mise à jour de vos scanners de sécurité, vérifiez les signatures des artefacts et générez des alertes en cas de changements de version inattendus. Aucun outil, aussi réputé soit-il, ne devrait être exempté de vérification.
L’avantage institutionnel de l’Algérie
L’Algérie construit son cadre de cybersécurité au moment précis où il le faut. La stratégie 2025-2029, le mandat opérationnel de l’ASSI et l’exigence du décret 26-07 de créer des unités de cybersécurité dédiées offrent au pays une base institutionnelle que beaucoup de nations n’avaient pas lorsqu’elles ont été confrontées pour la première fois à des attaques par chaîne d’approvisionnement. En intégrant dès maintenant les pratiques de sécurité de la chaîne d’approvisionnement — ancrage SHA, SBOM, provenance SLSA, rotation atomique et vérification zero-trust — dans les directives nationales de cybersécurité, l’Algérie peut protéger proactivement son infrastructure numérique croissante plutôt que de réagir après coup.
La faille Trivy a compromis la Commission européenne, une institution disposant de ressources considérables en cybersécurité. La leçon n’est pas que l’open source est dangereux — il reste le fondement du logiciel moderne. La leçon est que l’hygiène de la chaîne d’approvisionnement doit suivre le rythme de l’adoption. Les organisations algériennes qui intériorisent ce principe construiront des systèmes plus résilients que celles qui l’ont appris à leurs dépens.
Questions Fréquemment Posées
Qu’est-ce qui a rendu l’attaque par chaîne d’approvisionnement Trivy si difficile à détecter ?
TeamPCP a forcé la mise à jour de 76 des 77 tags de version dans le dépôt GitHub Action de Trivy vers des commits malveillants tout en préservant les métadonnées des commits originaux — noms d’auteurs, horodatages et références de PR. Les pipelines compromis continuaient d’exécuter normalement les scans Trivy légitimes tout en exfiltrant silencieusement les identifiants en arrière-plan. Les organisations qui référençaient les actions par tag de version plutôt que par SHA de commit n’avaient aucune indication visible de compromission.
La Stratégie nationale de cybersécurité 2025-2029 de l’Algérie aborde-t-elle spécifiquement les risques de la chaîne d’approvisionnement logicielle ?
La stratégie, adoptée par le décret présidentiel n° 25-321 en décembre 2025, se concentre sur le développement de capacités nationales de détection et de réponse via l’ASSI et impose des unités de cybersécurité dédiées dans chaque institution publique via le décret n° 26-07. Bien qu’elle établisse le cadre institutionnel, des pratiques spécifiques à la chaîne d’approvisionnement comme les exigences SBOM et l’adoption SLSA renforceraient l’impact opérationnel de la stratégie. Les organisations algériennes peuvent adopter ces pratiques dès maintenant sans attendre de mandats réglementaires.
Comment les équipes algériennes disposant de budgets limités peuvent-elles commencer à améliorer la sécurité de leur chaîne d’approvisionnement ?
La pratique la plus impactante — ancrer les dépendances à des SHA de commit plutôt qu’à des tags de version — ne coûte rien et peut être mise en œuvre en un après-midi. Générer des SBOM à l’aide d’outils open source comme Syft ou Trivy lui-même (désormais corrigé) est également gratuit. La conformité au SLSA Niveau 1 exige simplement des processus de build scriptés et versionnés. Ces trois étapes répondent aux vecteurs d’attaque spécifiques exploités dans la faille Trivy et nécessitent du temps d’ingénierie plutôt que des budgets d’approvisionnement.
Sources et lectures complémentaires
- European Commission Cloud Breach: A Supply-Chain Compromise — CERT-EU
- Detecting, Investigating, and Defending Against the Trivy Supply Chain Compromise — Microsoft Security Blog
- From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise — CrowdStrike
- Trivy Supply Chain Attack: What You Need to Know — Aqua Security
- Trojanization of Trivy, Checkmarx, and LiteLLM Solutions — Kaspersky
- Algeria Strengthens Cybersecurity Framework to Protect National Infrastructure — TechAfrica News
- Content of the 2025-2029 National Information Systems Security Strategy Unveiled — Africa News
- SLSA Framework — Open Source Security Foundation
- SBOM Requirements in the EU Cyber Resilience Act — FOSSA
