Vous pensiez que l'open source était un havre de vertu ? Un espace où des développeurs altruistes partagent du code propre, vérifié, intouchable ? Asseyez-vous, on va rigoler. Element-data, un package Python téléchargé plus d'un million de fois chaque mois, vient de se faire pincer la main dans le pot de confiture : il exfiltrait tranquillement vos credentials. Pas de bug innocent, pas de faille involontaire. Un backdoor pur et dur, planqué dans du code que des milliers de projets utilisaient en confiance.
Le piège à cons
Le principe est d'une simplicité diabolique : le package collectait des identifiants, tokens, clés API et les envoyait vers un serveur contrôlé par les attaquants. Pendant combien de temps ? Les logs ne mentent pas : l'infection datait de plusieurs versions. Et personne n'a rien vu. Pas de revue de code, pas de scan automatique, pas de main levée dans la communauté. Rien. Juste un million de machines qui pompaient docilement du poison.
Les chiffres ? 1 200 000 téléchargements par mois en moyenne. Une base installée potentiellement gigantesque. Des entreprises, des devs solo, des CI/CD pipelines. Tout le monde a bu le bouillon. Le pire ? Le code malveillant était dissimulé dans un module de logging anodin. Qui va suspecter un logger ? Personne. C'est tout le génie du truc : jouer sur la confiance aveugle que l'open source inspire.
La valse des responsabilités
Bien sûr, les mainteneurs officiels d'element-data se sont empressés de publier un correctif, de supprimer les versions compromises et de présenter des excuses larmoyantes. Mais le mal est fait. Des milliers de credentials ont fui. Des comptes ont été compromis. Et qui va payer les pots cassés ? Les utilisateurs, comme toujours. Les attaquants, eux, ont déjà changé de cible. Les plateformes comme PyPI ? Toujours aussi peu regardantes sur le contenu des packages. Une vérification automatisée à deux balles, des signatures numériques optionnelles, et une confiance aveugle dans la bonne foi des contributeurs. Beau boulot.
Le vrai scandale, c'est que ce n'est pas la première fois, et ce ne sera pas la dernière. En 2022, des packages similaires ont été découverts sur npm et PyPI : des typosquatting, des backdoors, des voleurs de tokens. Rien n'a changé. Les plateformes continuent de faire la politique de l'autruche, les entreprises continuent d'importer des dépendances sans vérifier, et les développeurs continuent de croire que parce que c'est open source, c'est forcément safe. Sérieusement ?
Qui se goinfre, qui se fait rouler
Les attaquants, évidemment. Avec des credentials d'accès à des services cloud, des bases de données, des API tierces, ils peuvent revendre les accès, lancer des attaques ciblées, ou tout simplement siphonner des données sensibles. Les victimes ? Des startups qui utilisent element-data pour du traitement de données, des entreprises du Fortune 500 qui l'ont intégré sans le savoir dans leur stack, des développeurs indépendants qui voient leurs comptes GitHub, AWS ou Stripe détournés. Pendant ce temps, les mainteneurs officiels du package (une poignée de bénévoles) essaient de sauver les meubles, mais la confiance est brisée.
Le comble ? Element-data était tagué comme 'stable' et 'largement testé'. Un million de téléchargements, ça donne une crédibilité de façade. Mais comme on le voit, la popularité n'est en aucun cas un gage de sécurité. C'est même l'inverse : plus un package est utilisé, plus il devient une cible juteuse.
La leçon à retenir (si vous êtes encore en vie)
Mettez à jour immédiatement vos projets utilisant element-data vers la dernière version non compromise. Changez tous vos tokens, mots de passe et clés API qui ont pu circuler via ce package. Et surtout, arrêtez de faire confiance aux packages open source comme si c'était la Bible. Vérifiez le code source, utilisez des outils d'analyse statique, limitez les dépendances au strict minimum. L'open source n'est pas un safe-conduct. C'est un terrain miné, et vous marchez pieds nus.
Alors, prêt à revoir votre supply chain logicielle ? Non ? Tant pis. Le prochain package malveillant est déjà en ligne, et il attend sagement que vous l'invitiez chez vous.