Avec OSS Rebuild, Google veut protéger les chaines d’approvisionnement open source

Peut provoquer une accoutumance

Long Ma pour Unsplash

Google vient d’annoncer une importante initiative dans le domaine de la sécurité logicielle : OSS Rebuild. La société propose une série de mécanismes de sécurité destinés au monde de l’open source, afin de renforcer les défenses contre les attaques sur les chaines d’approvisionnement. Bien que les fonctions proposées soient puissantes, elles pourraient placer Google dans une position centrale.

Vincent Hermann

Le 23 juillet 2025 à 11h38

7 min

Sécurité

Les attaques contre la chaine d’approvisionnement sont la bête noire de bon nombre d’éditeurs et de développeurs. Elles ne ciblent pas l’application directement, mais les serveurs et/ou dépôts liés. En récupérant des accès et clés cryptographiques, les pirates peuvent alors s’insinuer dans la chaine allant jusqu’à l’utilisateur final. Ils obtiennent ainsi un observatoire de choix et la possibilité de distribuer une version frelatée du projet, soit directement, soit par l’intermédiaire d’une modification dans le code.

Un bon exemple du danger représenté par ces attaques est le cas xz-utils. Par chance, une faille avait été découverte au printemps 2024 dans ce composant embarqué dans toutes les distributions Linux. La brèche n’était pas une erreur de programmation : elle avait été ajoutée par une personne qui avait réussi à obtenir la gestion du dépôt associé et à ajouter progressivement des modifications malveillantes. L’affaire, très médiatisée dans la presse numérique, avait lancé une profonde réflexion sur la sécurité des projets open source.

Google fait directement référence à cette attaque dans son billet d’annonce. Son initiative OSS Rebuild veut justement combattre ce type de compromission et renforcer les chaines d’approvisionnement.

Ce que propose Google

Il reste 76% de l'article à découvrir.

Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (10)

pamputt Premium

Modifié le 23/07/2025 à 11h51

Dans l'idéal, il faudrait que cela soit géré par des États plutôt qu'une seule entreprise. En mettant les États-Unis, l'Europe, la Chine et quelques pays du Sud dans la gouvernance et la vérification de ce système, ça donnerait une confiance quasi-absolue dans la fiabilité du système. Mais je n'ai pas creusé pour voir si le mécanisme permet d'avoir plusieurs têtes pour gouverner ce processus.

SebGF Premium

Le 23/07/2025 à 12h20

Google n'a visiblement pas la main mise sur assez de trucs.

Lasout Premium

Le 23/07/2025 à 12h28

Ben, on ne peut pas leur reprocher de s'intéresser à ça et de proposer une solution, qui en plus techniquement tient la route. Ils y ont effectivement des intérêts et les moyens pour.
Ensuite, que la Société (j'aurai aussi pu dire les Etats, les Organisation Internationales ou l'Humanité) décide de s'emparer du sujet pour ne pas laisser ça dans les mains d'une société privée, ce serait effectivement de bon aloi...

CharlesP. Premium

Le 24/07/2025 à 16h26

la société qui s'empare du sujet d'une société, c'est le socialisme !
encore pire si c'est l'Humanité qui s'en empare, là c'est le communisme !

alex.d. Premium

Le 23/07/2025 à 12h21

Je ne vois pas en quoi cette initiative aurait pu empêcher la compromission de xz. La faille était dans le paquet officiel publié par le développeur officiel.

pamputt Premium

Le 23/07/2025 à 12h28

Je me suis fait la même réflexion

MountainOtter Premium

Le 23/07/2025 à 13h46

Cf le post d'annonce de Google:

--------
OSS Rebuild helps detect several classes of supply chain compromise:

- Unsubmitted Source Code - When published packages contain code not present in the public source repository, OSS Rebuild will not attest to the artifact.
Real world attack: solana/webjs (2024)

- Build Environment Compromise - By creating standardized, minimal build environments with comprehensive monitoring, OSS Rebuild can detect suspicious build activity or avoid exposure to compromised components altogether.
Real world attack: tj-actions/changed-files (2025)

- Stealthy Backdoors - Even sophisticated backdoors like xz often exhibit anomalous behavioral patterns during builds. OSS Rebuild's dynamic analysis capabilities can detect unusual execution paths or suspicious operations that are otherwise impractical to identify through manual review.
Real world attack: xz-utils (2024)
--------

Ca reste pas très détaillé comme explication, mais ils disent clairement que des backdoors comme xy ont un fonctionnement anormal qu'ils peuvent détecter.

Tanyuu Premium

Le 23/07/2025 à 13h49

Le code source de xz n'avait pas été compromis, c'est la version packagée distribuée qui l'était.
Donc dans ce cas-là, OSS Rebuild n'aurait jamais réussi à reproduire le même package final en partant des sources et en utilisant un processus propre donc on aurait pu se rendre compte que quelque chose clochait.

gg40 Premium

Le 24/07/2025 à 11h05

voir la bonne vidéo de cocadmin à ce sujet :

YouTube

Beurt-le-vrai Premium

Le 26/07/2025 à 09h44

Pour xz la seule bonne stratégie : financer les mainteneurs des outils très utilisés !