Points clés
- L'investigation post-incident du ransomware Cl0p via MOVEit Transfer (2023) a révélé que la compromission avait exploité des dépendances de communication entre des systèmes de transfert de fichiers et des backends de stockage cloud — des connexions invisibles dans les architectures documentées mais réelles dans les flux réseau.
- Le rapport MITRE ATT&CK sur la chaîne d'approvisionnement indique que 35 % des attaques de supply chain exploitent des dépendances de communication non documentées entre les systèmes des fournisseurs et ceux de leurs clients — des canaux de confiance implicite utilisés comme vecteurs d'attaque.
- L'analyse réseau post-incident de SolarWinds (2020) a révélé que les communications C2 utilisaient des paramètres empruntés aux flux légitimes d'Orion (timing, volume, protocoles) pour se fondre dans le trafic normal — une technique qui exploite directement la confiance implicite dans les dépendances de communication connues.
Les systèmes modernes communiquent en permanence avec d'autres systèmes via des dépendances souvent invisibles aux équipes sécurité : appels à des APIs tierces, synchronisations avec des services cloud, communications entre microservices, mises à jour automatiques depuis des repositories externes, métriques envoyées vers des services de supervision. Ces dépendances créent un tissu de communications qui représente une surface d'attaque complexe et en grande partie non cartographiée.
Catégories de dépendances invisibles via les communications
Les dépendances invisibles se répartissent en plusieurs catégories : (1) dépendances de supply chain logicielle — les librairies et composants open source inclus dans les applications communiquent avec des registres et des CDN lors des builds et des mises à jour, (2) dépendances vers des services cloud tiers — les SaaS intégrés dans les workflows métier (Slack, Salesforce, Jira, etc.) reçoivent des données et initialisent des connexions, (3) dépendances de télémétrie et supervision — les agents de supervision (APM, monitoring, logging) envoient régulièrement des données vers leurs plateformes de centralisation, (4) dépendances de mise à jour automatique — les logiciels qui se mettent à jour automatiquement établissent des connexions vers leurs serveurs de distribution de mises à jour.
Chacune de ces catégories représente un canal de confiance qui peut être détourné : si l'une de ces dépendances est compromise, les attaquants peuvent utiliser le canal de confiance établi pour introduire du code malveillant ou exfiltrer des données en passant sous les radars des contrôles de filtrage réseau qui autorisent ces communications.
Cartographie des dépendances de communication
La cartographie des dépendances de communication s'appuie sur l'analyse des flux réseau sortants : quels systèmes communiquent avec quelles destinations externes, via quels protocoles et ports, avec quels volumes ? Cette cartographie révèle souvent des connexions inattendues : un serveur applicatif qui communique avec un service d'analyse américain, une application de bureau qui envoie des métriques vers une destination inconnue, un microservice qui fait des appels à une API externe non documentée.
La comparaison entre la cartographie des flux réels et la documentation d'architecture permet d'identifier les dépendances non documentées — potentiellement légitimes mais devant être connues et surveillées, ou potentiellement des indicateurs de compromission dans le cas où la communication est initiée par un attaquant.
Surveillance des dépendances comme détection précoce
Les modifications dans les patterns de communication des dépendances connues sont un indicateur d'alerte précoce : si un composant qui communiquait habituellement avec un endpoint spécifique commence à communiquer avec un nouveau domaine après une mise à jour, cela peut indiquer une supply chain compromise. La base de référence des communications normales des dépendances (baseline comportementale) est un prérequis pour détecter ces déviations.
Cas opérationnel : 3CX — supply chain attack via dépendance de communication (International, 2023)
En mars 2023, l'application de téléphonie 3CX Desktop App a été compromise via une supply chain attack : la version distribuée sur le site officiel de 3CX contenait une backdoor qui initiait des communications avec de l'infrastructure C2 du groupe Lazarus (RPDC). La backdoor utilisait des communications HTTPS vers des domaines GitHub légitimes pour télécharger ses instructions — en exploitant la confiance implicite dans les connexions vers GitHub, un service de communication normal pour les développeurs. L'investigation Mandiant a révélé que la backdoor dans 3CX avait elle-même été introduite par une supply chain compromise antérieure : la librairie Trading Technologies X_TRADER, utilisée par un développeur 3CX, avait été compromise lors d'une attaque précédente. Cette chaîne de compromissions via des dépendances de communication illustre la complexité des dépendances invisibles dans les architectures modernes.
La compromission des packages npm colors et faker (2022) a démontré que des millions d'applications communiquant avec le registre npm pour leurs dépendances open source sont potentiellement exposées à des mises à jour malveillantes si les packages dont elles dépendent sont compromis. Ces dépendances de communication avec les gestionnaires de paquets (npm, pip, maven) sont rarement incluses dans les cartographies réseau alors qu'elles représentent un vecteur de supply chain critique.
La backdoor découverte dans XZ Utils (CVE-2024-3094) en mars 2024 aurait, si déployée en production, permis une compromission via les connexions SSH des systèmes Linux l'utilisant — en exploitant les dépendances de communication entre le service SSH et la bibliothèque de compression xz. La découverte fortuite par un ingénieur Microsoft illustre que les dépendances de communication dans les bibliothèques système sont une surface d'attaque que les équipes sécurité ne surveillent pas systématiquement.
Le groupe Lazarus (RPDC) a systématiquement ciblé les dépendances de communication dans ses campagnes les plus sophistiquées : SolarWinds (2020), 3CX (2023), et plusieurs attaques de supply chain de logiciels financiers en Asie. L'ACSC australienne et les CERT d'Asie-Pacifique ont documenté que la défense contre ces attaques requiert une cartographie explicite des dépendances de communication et une surveillance des modifications dans ces communications — une capacité encore rare dans les organisations de la région.