Mois : mai 2026

Pourquoi les attaques supply-chain explosent

Le développement moderne repose aujourd’hui sur un immense écosystème open source. Frameworks JavaScript, packages npm, modules Python, images Docker, pipelines CI/CD, outils d’automatisation ou bibliothèques de sécurité : une grande partie des applications actuelles est désormais construite à partir de composants développés par des tiers.
Et dans la majorité des cas, ces composants sont intégrés en quelques secondes seulement.

npm install nomPackage

Derrière cette commande pourtant anodine se cache parfois une chaîne entière de dépendances téléchargées automatiquement.

Une application moderne ne contient plus uniquement le code écrit par son équipe de développement. Elle embarque souvent des centaines, voire des milliers de composants logiciels externes.
Certaines estimations considèrent aujourd’hui que 70 à 80% d’une application moderne repose sur du code que l’entreprise n’a pas développé elle-même.

C’est précisément ce qui rend les attaques “supply-chain” dangereuses.

La supply-chain logicielle : l’autoroute idéale des attaques modernes

Pendant longtemps, les entreprises concentraient leurs efforts de sécurité principalement sur leur propre code applicatif. Aujourd’hui, les attaquants ont compris qu’il était souvent bien plus efficace de viser directement la chaîne logicielle utilisée par des milliers de projets.

Plutôt que d’attaquer une entreprise en particulier, ils ciblent désormais les packages open source, les registries, les pipelines CI/CD, les outils de build, les images Docker ou encore les plateformes de publication.

Le problème dépasse largement le simple “package vulnérable”.
La supply-chain logicielle, c’est tout ce qui permet de construire une application : comment le package est créé, publié, récupéré, intégré dans un pipeline puis finalement exécuté dans une infrastructure de production.

Aujourd’hui, cette chaîne complète est devenue une cible majeure.

L’OWASP (Open Worldwide Application Security Project) a d’ailleurs fortement remonté les risques liés à la supply-chain logicielle dans ses principales catégories de menaces de sécurité. Et ce n’est probablement que le début !

Vos dépendances ne viennent jamais seules

Lorsqu’un développeur ajoute une dépendance à un projet Node.js ou Python, il pense généralement récupérer une simple bibliothèque.
En réalité, cette dépendance peut elle-même dépendre d’autres dépendances, qui téléchargent à leur tour d’autres composants. C’est ce que l’on appelle les dépendances transitives.

Dans l’écosystème Node.js, des commandes simples comme npm ls ou npm outdated permettent déjà de visualiser les dépendances réellement installées et les versions obsolètes présentes dans un projet.

Dans certains projets modernes, une simple application web peut ainsi embarquer plusieurs milliers de packages réels. Parmi eux, certains ne sont plus maintenus, d’autres sont très peu surveillés, certains sont utilisés par des millions de projets, et d’autres peuvent devenir malveillants du jour au lendemain.

Le plus problématique, c’est que beaucoup de développeurs n’ont plus réellement de visibilité sur l’ensemble des composants qui composent leur propre application.

EventStream : la confiance compromise

L’un des cas les plus connus reste l’affaire EventStream.

Le package était populaire, utilisé dans de nombreux projets et considéré comme fiable. Puis un jour, le mainteneur transfère simplement la propriété du package à une autre personne.
Le transfert de propriété sur certaines plateformes comme GitHub est extrêmement simple. Quelques modifications plus tard, du code malveillant est discrètement ajouté dans une nouvelle version du package.

Résultat : les développeurs mettant à jour leur dépendance téléchargent automatiquement le code malveillant dans leurs applications.

Cette attaque a marqué un tournant important parce qu’elle a montré qu’une dépendance populaire et largement utilisée pouvait devenir une porte d’entrée extrêmement efficace.

Et surtout, le problème ne venait pas d’une faille technique complexe, mais simplement de la confiance accordée à une chaîne logicielle devenue beaucoup trop opaque.

Une simple faute de frappe peut suffire !

Toutes les attaques supply-chain ne reposent pas forcément sur des scénarios sophistiqués. Parfois, une simple erreur humaine suffit.

Un développeur tape rapidement le nom d’un package dans son terminal, oublie une lettre, inverse un caractère ou remplace un zéro par un “O”. Au lieu d’installer le vrai package, il télécharge alors une version malveillante volontairement publiée pour ressembler à la bibliothèque officielle.

Cette technique porte un nom : le typosquatting.

Des cas similaires ont déjà touché des dépendances très populaires de l’écosystème JavaScript et Python. Le problème devient particulièrement dangereux dans des environnements automatisés où les installations de dépendances sont déclenchées directement dans des pipelines CI/CD.

Les pipelines CI/CD sont devenus des cibles

L’objectif d’un package malveillant n’est pas toujours de compromettre directement l’application finale. Dans certains cas, la cible réelle est l’environnement de build lui-même.

Un morceau de code injecté dans une dépendance peut récupérer des variables d’environnement, voler des clés API, exfiltrer des tokens ou accéder à des secrets CI/CD.
Et comme ces dépendances sont souvent exécutées automatiquement pendant les phases de build, les conséquences peuvent devenir extrêmement importantes.

Un simple package compromis peut parfois donner accès à des registres privés, des dépôts Git, des environnements cloud ou même des infrastructures de production entières.

Des outils intégrés comme npm audit permettent également d’identifier certaines vulnérabilités connues directement dans les dépendances utilisées par une application.

Les outils de sécurité dans le viseur

Le plus inquiétant, c’est que même les outils de sécurité eux-mêmes ne sont pas épargnés. Des attaques récentes ont notamment touché certains outils largement utilisés pour analyser les vulnérabilités ou sécuriser des infrastructures cloud.

Autrement dit, les logiciels censés protéger les applications dépendent eux aussi d’un très grand nombre de composants externes. Cela montre à quel point la confiance dans la chaîne logicielle moderne devient complexe.

Aujourd’hui, la question n’est plus seulement : “Mon application est-elle sécurisée ?

Mais aussi : “Puis-je réellement faire confiance à tout ce qui permet de construire mon application ?

L’IA aussi devient une cible

Avec l’explosion récente des outils liés à l’intelligence artificielle, de nouveaux risques apparaissent également. Certains modèles ou packages liés à l’IA ont déjà été ciblés via des dépendances malveillantes ou des modules empoisonnés.

L’objectif peut être multiple :

  • récupération de données
  • compromission d’environnements d’apprentissage
  • vol d’informations
  • exécution de code malveillant.

Là encore, le problème reste le même. Les développeurs et les entreprises dépendent de plus en plus de composants externes qu’ils ne maîtrisent pas complètement.

Les SBOM pour retrouver de la visibilité

Face à ces nouveaux enjeux, de nombreuses entreprises commencent à déployer des SBOM. SBOM signifie Software Bill Of Materials.

Le principe est relativement simple : générer un inventaire détaillé des composants logiciels présents dans une application. Un SBOM permet notamment de savoir quelles dépendances sont utilisées, quelles versions sont installées, quelles applications sont concernées par une faille critique ou encore quelles bibliothèques deviennent obsolètes.

Des standards comme CycloneDX ou SPDX prennent progressivement une place importante dans les environnements DevSecOps modernes.
L’objectif n’est pas uniquement de détecter des vulnérabilités. Le véritable enjeu est surtout de retrouver de la visibilité sur des applications devenues extrêmement complexes.

Aujourd’hui, plusieurs outils permettent de générer facilement ce type d’inventaire, notamment dans des projets Node.js, Python, Java ou Docker. Des solutions open source comme Syft, Trivy ou DependencyTrack sont de plus en plus utilisées pour analyser les dépendances et suivre les vulnérabilités connues dans le temps.

Concrètement, la logique est souvent la suivante :

  1. générer un SBOM du projet
  2. identifier les composants utilisés
  3. analyser les vulnérabilités connues
  4. puis surveiller les nouvelles failles au fil des mises à jour

Dans certains environnements, cette génération de SBOM est désormais directement intégrée dans les pipelines CI/CD afin de garder une vision continue des composants réellement déployés en production.

Même si ces pratiques étaient autrefois réservées aux grandes infrastructures ou aux environnements sensibles, elles deviennent progressivement accessibles et pertinentes pour la majorité des projets modernes.

La confiance devient un enjeu majeur

Le développement logiciel moderne ne consiste plus uniquement à écrire du code. Il faut désormais aussi sécuriser toute la chaîne qui permet de construire et déployer une application :

  • dépendances
  • pipelines CI/CD
  • registries
  • artefacts
  • images Docker
  • outils de build
  • plateformes cloud
  • infrastructures d’automatisation

La supply-chain logicielle est progressivement devenue l’un des sujets majeurs de cybersécurité moderne.
Et avec l’explosion de l’open source, du cloud et de l’automatisation, ce sujet devient désormais incontournable pour toutes les équipes techniques.

La sécurité des dépendances et de la chaîne logicielle devient aujourd’hui un véritable enjeu dans les infrastructures modernes, aussi bien pour les applications web que pour les plateformes cloud et les environnements d’hébergement.

Chez Easy-Hébergement, nous faisons évoluer régulièrement nos infrastructures et nos plateformes afin de proposer des environnements d’hébergement fiables, modernes et adaptés aux enjeux actuels du web, du cloud et de la sécurité.

Découvrez nos solutions d’hébergement web, cloud et infrastructures : https://www.easy-hebergement.fr/

Pour celles et ceux qui souhaitent approfondir le sujet, une conférence complète de 40 minutes sur les attaques supply-chain : https://www.youtube.com/watch?v=X5aafFca39c

PHP 8.5 disponible sur nos hébergements web

La version PHP 8.5 est désormais disponible sur les hébergements mutualisés Easy-Hébergement !

Cette nouvelle version peut être activée directement depuis votre espace client afin de profiter des dernières évolutions du langage PHP, avec des améliorations en matière de performances, de sécurité et de compatibilité applicative.

Pourquoi mettre à jour votre version PHP ?

PHP est le moteur utilisé par de nombreux sites et applications web tels que WordPress, Prestashop, Laravel ou Symfony.

Utiliser une version récente permet notamment de bénéficier :

  • d’une meilleure stabilité
  • d’exécutions plus rapides
  • d’améliorations de sécurité
  • d’une compatibilité renforcée avec les applications modernes

Maintenir une version PHP à jour contribue également à garantir la pérennité et la continuité de vos services web.

Retrouvez l’ensemble de nos solutions d’hébergement sur :
https://www.easy-hebergement.fr/

Activation simple depuis votre espace client

La sélection de la version PHP souhaitée peut être effectuée directement depuis l’interface de gestion de votre hébergement.

Quelques clics suffisent pour passer à PHP 8.5 et tester sa compatibilité avec votre environnement applicatif.

Comment activer PHP 8.5 ?

Pour basculer vers PHP 8.5, rendez-vous dans votre espace client Easy-Hébergement.

  1. Accédez à l’onglet Gestion hébergement mutualisé
  2. Sélectionnez votre hébergement
  3. Dans la barre latérale, ouvrez la section Version PHP & PHP.ini
  4. Choisissez la version PHP souhaitée dans la liste disponible
  5. Cliquez sur Activer cette version

L’interface permet actuellement de sélectionner différentes versions de PHP, de la 5.6 jusqu’à la 8.5, afin de s’adapter aux besoins et à la compatibilité de chaque projet web.

Avant toute modification, nous recommandons de vérifier la compatibilité de votre site, CMS, thèmes ou extensions avec la version choisie.

Quelles nouveautés avec PHP 8.5 ?

PHP 8.5 apporte plusieurs améliorations destinées à moderniser le développement web et à simplifier certaines opérations courantes.

Parmi les nouveautés les plus attendues :

  • de nouvelles fonctions comme array_first() et array_last() permettant de récupérer plus facilement les premières et dernières valeurs d’un tableau
  • l’arrivée de l’opérateur pipe (|>) qui simplifie l’enchaînement de traitements et améliore la lisibilité du code
  • de nouveaux outils de débogage et de gestion des erreurs pour faciliter le développement et la maintenance des applications
  • des améliorations autour de cURL et de l’internationalisation pour les projets modernes et multilingues
  • plusieurs optimisations internes visant à améliorer les performances et l’expérience globale de développement

Même si cette version n’introduit pas de rupture majeure, PHP 8.5 poursuit l’évolution du langage avec des améliorations concrètes, utiles aussi bien pour les applications existantes que pour les nouveaux projets.

La documentation officielle complète des nouveautés est disponible ici :
https://www.php.net/releases/8.5/en.php

Une infrastructure mise à jour

Chez Easy-Hébergement, nous faisons évoluer régulièrement nos plateformes afin de proposer des environnements performants, sécurisés et adaptés aux standards actuels du web.

Notre objectif reste le même : garantir un hébergement fiable, moderne et accessible pour l’ensemble de vos projets web.

Pour toute question ou besoin d’accompagnement, notre support reste disponible 7j/7.

Incident de sécurité chez BookMyName, pourquoi nos services ont été temporairement suspendus

Incident de sécurité chez BookMyName
5 min de lecture Par Marcelo

Ce matin du 5 mai 2026, certains d’entre vous ont constaté que notre site et notre espace client étaient inaccessibles. Cette interruption n’est pas une panne : c’est une décision que nous avons prise délibérément, par mesure de sécurité.

La raison : un incident de sécurité a été détecté chez BookMyName, l’un de nos prestataires en charge de la gestion de noms de domaine. Face à cette situation, nous avons immédiatement suspendu nos propres services. Non pas parce que nos systèmes sont compromis mais parce que nous refusons de vous remettre en ligne sans en avoir la certitude.

Cet article vous explique ce qui s’est passé, ce que nous avons fait, et où en est la situation. Nous vous devons cette transparence.

Points clés

  • Le 5 mai à 08h55 CEST, une activité inhabituelle a été détectée sur le système d’information de BookMyName, notre prestataire de gestion de domaines.
  • Certains clients de BookMyName ont constaté des modifications de leurs informations de contact associées à leurs noms de domaine.
  • À ce stade, aucune modification de zone DNS ni aucun transfert de domaine sortant n’ont été détectés.
  • Nous avons volontairement suspendu notre site et notre espace client pour vérifier qu’aucune donnée utilisateur n’a été compromise.
  • La remise en ligne s’effectue de façon progressive, après vérification complète de notre environnement.
  • Mise à jour 15h00 : les noms de domaine enregistrés auprès de BookMyName ne présentent aucun risque identifié. Les données de contact modifiées ont été entièrement rétablies.
  • Mise à jour 17h30 : la cause de l’incident a été identifiée et isolée par les équipes BookMyName. Le service sera pleinement rétabli dans la soirée ; certaines fonctionnalités secondaires resteront temporairement indisponibles.
Alerte incident de sécurité informatique chronologie de l'incident BookMyName du 5 mai 2026
Chronologie de l’incident de sécurité détecté chez BookMyName le 5 mai 2026

Ce qui s’est passé : chronologie de l’incident chez BookMyName

BookMyName est un registrar un prestataire spécialisé dans l’enregistrement et la gestion de noms de domaine. Nous lui confions la gestion de certains domaines pour le compte de nos clients.

Ce matin, leur infrastructure a été touchée par un incident de sécurité informatique. Voici la chronologie telle que nous la connaissons à ce stade :

  • 08h55 CEST Une activité inhabituelle est détectée sur le système d’information de BookMyName.
  • 11h11 CEST BookMyName suspend l’ensemble de ses accès publics. Les services sont indisponibles ; les équipes mènent une investigation.
  • 13h07 CEST L’enquête est toujours en cours. Aucune information complémentaire n’a été communiquée à ce stade.

L’alerte concrète qui a déclenché notre niveau de vigilance : certains clients de BookMyName ont constaté des modifications de leurs informations de contact liées à leurs noms de domaine. Ce type de modification, même limitée aux données d’enregistrement, constitue un signal d’intrusion sérieux qui justifie une réaction immédiate.

Deux points positifs sont confirmés à ce stade : aucune modification de zone DNS n’a été observée, et aucun transfert de domaine sortant n’a été détecté. Ce sont les deux scénarios les plus critiques dans ce type d’incident et ils ne se sont pas produits.

Pourquoi nous avons suspendu nos propres services

Notre infrastructure n’est pas directement hébergée chez BookMyName. Mais ce prestataire gère des noms de domaine qui pointent vers nos serveurs. C’est suffisant pour justifier une réponse immédiate de notre part.

Face à un incident chez un acteur de la chaîne, nous avons appliqué une règle simple : la sécurité avant la continuité de service. Suspendre nos services, c’est accepter une contrainte à court terme pour éviter un risque réel.

Cette décision poursuit quatre objectifs précis :

  1. Vérifier qu’aucune donnée de nos utilisateurs n’a été compromise coordonnées, identifiants, données de facturation.
  2. Analyser l’impact potentiel côté Easy-Hébergement cartographier ce qui est exposé, même indirectement.
  3. Prévenir tout risque d’exploitation ou d’effet en cascade un service maintenu en ligne pendant une investigation active peut devenir un vecteur d’attaque supplémentaire.
  4. Protéger nos utilisateurs avant toute remise en ligne nous préférons une heure d’interruption à une remise en service précipitée.
ℹ️

À noter : Nous savons que cette indisponibilité est contraignante. Nous l’assumons pleinement et nous la préférons à toute remise en ligne sans garanties.

Ce que nos vérifications ont confirmé

Dès la détection de l’incident, nos équipes ont procédé à un audit immédiat de notre environnement.

Voici ce que nous pouvons affirmer à ce stade :

  • Aucune modification non autorisée n’a été détectée sur nos zones DNS.
  • Aucun accès anormal à nos systèmes internes n’a été relevé.
  • Aucun transfert de domaine n’a été initié sans notre accord explicite.
  • Les données de nos utilisateurs identifiants, coordonnées, informations de facturation n’ont fait l’objet d’aucun accès suspect identifié.

Ces vérifications sont en cours et se poursuivront jusqu’à la levée complète de l’incident par BookMyName. En cas de découverte d’un impact sur vos données, nous vous en informerons immédiatement et directement. Pour renforcer la protection de votre espace en parallèle, nous vous invitons à configurer un pare-feu sur votre espace client si ce n’est pas encore fait.

Rétablissement progressif : l’état de la situation

La remise en ligne de nos services s’effectue de façon progressive et contrôlée. Nous ne rétablissons un service que lorsque nous avons la certitude qu’il est sain.

Cette approche par étapes peut générer des délais supplémentaires. C’est un choix délibéré : aller vite sans garanties n’est pas une option que nous acceptons.

Nous suivons en temps réel les communications officielles de BookMyName. Dès que la situation est clarifiée de leur côté et que nos propres vérifications sont finalisées, nous vous en informerons par une mise à jour de cet article.

Nos engagements envers vous

Un incident chez un prestataire externe, même indirect, engage notre responsabilité vis-à-vis de vous. Voici ce que nous vous garantissons dans ce contexte :

  • Transparence : vous communiquer les faits tels que nous les connaissons, sans les minimiser ni les dramatiser.
  • Réactivité : mettre à jour cet article dès que de nouvelles informations sont disponibles de notre côté ou du côté de BookMyName.
  • Sécurité d’abord : ne remettre en ligne aucun service sans vérification préalable.
  • Communication directe : si un impact sur vos données venait à être confirmé, vous en seriez informé personnellement pas via un article de blog.

Des questions ? Notre équipe reste joignable via notre formulaire de contact. Nous répondrons dans les meilleurs délais.

Mise à jour 5 mai 2026, 15h00 CEST

BookMyName a communiqué sur l’évolution de la situation. Voici ce que nous pouvons confirmer à ce stade de nos investigations.

  • Aucun risque identifié sur vos noms de domaine : les domaines enregistrés auprès de BookMyName ne présentent aucun risque à ce stade. Les modifications intervenues sur les informations de contact ont été entièrement rétablies dans leur configuration initiale.
  • Date de reprise inconnue : l’analyse est toujours en cours et nous ne sommes pas en mesure de vous communiquer une date de rétablissement du service pour l’heure.

Vous pouvez suivre l’évolution de la situation en temps réel sur la page de statut officielle Scaleway, dont dépend l’infrastructure BookMyName.

Mise à jour 5 mai 2026, 17h30 CEST

BookMyName a communiqué une nouvelle évolution de la situation.

  • Cause identifiée et isolée : les équipes BookMyName ont identifié et isolé la cause de l’incident affectant les informations de contact des noms de domaine.
  • Rétablissement prévu ce soir : le service sera pleinement rétabli dans la soirée. Vous pourrez alors administrer vos noms de domaine normalement. Certaines fonctionnalités secondaires resteront temporairement indisponibles.
  • Renouvellements automatiques maintenus : compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Aucun renouvellement gracieux ne sera accordé pour les domaines arrivant à échéance le 5 mai 2026, contrairement à ce qui a pu être communiqué précédemment ces domaines seront traités selon vos modalités de facturation habituelles.

Questions fréquentes sur l’incident BookMyName

Mes noms de domaine sont-ils en danger suite à l’incident BookMyName ?

Non. À ce stade de nos investigations, les noms de domaine enregistrés auprès de BookMyName ne présentent aucun risque identifié. Aucune modification de zone DNS ni transfert sortant n’a été détecté. Les données de contact modifiées ont été entièrement rétablies dans leur configuration initiale.

Mes données personnelles chez Easy-Hébergement ont-elles été compromises ?

Non. Nos vérifications n’ont révélé aucun accès anormal à nos systèmes. Identifiants, coordonnées et données de facturation n’ont fait l’objet d’aucun accès suspect identifié. Si cela venait à changer, vous seriez informé personnellement et directement.

Quand les services Easy-Hébergement seront-ils rétablis ?

Après vérification complète de notre environnement, nous avons rétabli l’accès à nos services. Vous pouvez à nouveau vous connecter à votre espace client et administrer vos ressources normalement.

Où suivre l’évolution de l’incident BookMyName en temps réel ?

Sur la page de statut officielle Scaleway, dont dépend l’infrastructure BookMyName, et via les mises à jour de cet article. C’est la source officielle pour les annonces de rétablissement.

Faut-il changer mon mot de passe espace client Easy-Hébergement ?

Aucun accès suspect n’a été détecté sur nos systèmes. Par précaution, vous pouvez activer le pare-feu de votre espace client si ce n’est pas encore fait, et vérifier que votre adresse e-mail de récupération est bien à jour.

Mon domaine arrivait à échéance le 5 mai 2026 bénéficiera-t-il d’un renouvellement gracieux ?

Non. BookMyName ayant rétabli ses services ce jour, les renouvellements automatiques sont assurés normalement. Aucun renouvellement gracieux ne sera accordé pour les domaines arrivant à échéance le 5 mai 2026. Vos domaines seront traités selon vos modalités de facturation habituelles, sans délai supplémentaire lié à l’incident.

La situation évolue rapidement. Revenez sur cette page pour les mises à jour, ou suivez nos communications habituelles pour être informé dès que les services sont pleinement rétablis.

Dernière mise à jour : 5 mai 2026, 18h00 CEST — Auteur : Marcelo