Table des matières
SentinelOne®, leader de la sécurité basée sur l’IA, a détecté une attaque significative de la supply chain logicielle qui a compromis le site officiel de CPU-Z, un utilitaire système gratuit pour Windows, via son bouton de téléchargement. Pendant près de 19 heures, des utilisateurs croyant télécharger l’outil depuis sa source légitime ont reçu une version infectée contenant un cheval de Troie d’accès à distance (RAT).
Une compromission au cœur de la chaîne de confiance
Le 9 avril 2026, des attaquants ont pris le contrôle de l’API de distribution du site cpuid.com, redirigeant les téléchargements vers une infrastructure malveillante de manière invisible. Le logiciel affichait toutes les caractéristiques d’un produit légitime : signature valide, provenance officielle, et absence de signaux d’alerte pour l’utilisateur. Cela montre que la chaîne de confiance a été compromise.
Une attaque furtive détectée par le comportement
L’attaque a été identifiée en quelques secondes grâce à la technologie EDR de SentinelOne, qui a observé un comportement anormal lors de l’exécution, plutôt qu’à travers une analyse statique du fichier. Ce dernier a révélé une chaîne de processus inhabituels, impliquant PowerShell et d’autres outils système. Le malware, un RAT fonctionnant entièrement en mémoire, offrait un accès distant complet et permettait le vol d’identifiants, ainsi que la persistance sur les machines compromises.
Un risque élevé pour les entreprises
Plus de 150 entreprises ont déjà été identifiées comme victimes de cette attaque, un chiffre probablement sous-estimé. CPU-Z est couramment utilisé par des professionnels IT, tels que les administrateurs et les ingénieurs en sécurité, qui ont souvent des accès privilégiés aux systèmes critiques. La compromission d’un seul poste peut servir de point d’entrée pour des attaques plus larges.
Une faille structurelle dans le modèle de confiance
Cette attaque illustre une évolution des menaces où les attaquants exploitent des identités et des canaux légitimes, compromettant les infrastructures de distribution elles-mêmes. Selon SentinelOne, « le basculement s’étend profondément à la chaîne d’approvisionnement logicielle, où l’identité d’un développeur de confiance devient le vecteur d’attaque ». La confiance accordée à la provenance d’un logiciel ne garantit plus une sécurité suffisante, rendant essentielle l’analyse comportementale des logiciels au moment de leur exécution.
Pour plus d’informations, consultez le blog de SentinelOne.
