BLOG

Comment une couche de protection "Trust-Centric" réinvente la sécurité Internet ? 

17 Fév 2026
Actualités cyber

En 2025, la sophistication d’une attaque de la chaîne d’approvisionnement a démontré une réalité brutale : l’outil de confiance le plus ordinaire peut devenir une arme parfaite pour des acteurs malveillants.

Entre juin et décembre 2025, des hackeurs ont exécuté une attaque sur chaîne d’approvisionnement hautement sophistiquée (ndlr Chrysalis) visant le mécanisme de mise à jour de Notepad++, un éditeur de texte très populaire, utilisé et téléchargé environ 80 000 fois par jour. Plutôt que d’attaquer la base de code source de Notepad++, c’est le fournisseur d’hébergement partagé qui servait à effectuer les mises à jour du logiciel qui a été compromis. Ainsi, il leur a été possible d’intercepter et de manipuler le trafic réseau de de nombreuses entreprises, distribuant silencieusement des installations malveillantes, et tout particulièrement sur des cibles sélectionnées comme des solutions de cybersécurité. De nombreux systèmes ont été piratés entraînant des compromissions massives sur des données critiques.

Comment l’attaque Chrysalis a opéré ?

Le programme de mise à jour de Notepad++ (WinGUp) a demandé un fichier XML contenant l’URL du dernier installateur. Les versions antérieures de WinGUp ne disposaient d’aucun système de validation de certificat, ni de validation de signature: ce qui signifiait qu’elles faisaient aveuglément confiance à toute URL renvoyée par le serveur. Les attaquants ont exploité cette faiblesse en interceptant la réponse XML pour y substituer le lien de téléchargement légitime de mises à jour de Notepad++ par un lien malveillant sous leur contrôle.

Par conséquence, les utilisateurs de Notepad++ qui ont cliqué sur « Vérifier les mises à jour » ont téléchargé et exécuté un installateur truffé de logiciels espions, tout en pensant qu’il était de confiance. Comme Notepad++ est largement déployé dans de nombreuses industries, les victimes de cette attaque très sophistiquée comptaient non seulement des particuliers mais aussi des organisations corporatives et gouvernementales. Voilà comment un programme de mise à jour de logiciel supposé inoffensif a pu être détourné au cours d’une période de six mois.

Pourquoi les systèmes de sécurité traditionnels centrés sur les menaces ont failli?

Au lieu d’attaquer le logiciel lui-même, les attaquants ont compromis son fournisseur d’hébergement. Cela leur a donné un pouvoir terrifiant : la capacité à remplacer silencieusement les liens de mise à jour légitimes par des installateurs malveillants, et ce directement dans un flux de mise à jour logiciel réputé de confiance.

Aucune alarme. Aucun signal d’alerte.

Juste une mise à jour apparemment normale qui a livré des logiciels espions à des victimes soigneusement choisies. Pendant six mois, l’opération est restée invisible, enchainant l’espionage sur les trafics de données, dérobant des identifiants internes volés et presque sans aucune trace digitale légale.

Les solutions de sécurité traditionnelles « threat§centric » comme les EDRs n’ont pas pu détecter l’attaque Chrysalis car elles sont conçues pour rechercher les comportements suspects. Dans le contexte de cette attaque:

  • Chrysalis est arrivé par un chemin de mise à jour réputé de confiance sans aucun soupçon sur son origine. Le malware n’est pas entré dans les machines en tant que binaire inconnu, mais par le biais d’un flux de mise à jour Notepad++ légitime,  normalement approuvé par les contrôles de sécurité.
  • Les EDRs analysent des indicateurs de compromission tels que la réputation de la source, la lignée des processus et le comportement attendu, tandis que Chrysalis est arrivé selon un processus de mise à jour signé, approuvé et attendu.
  • Chrysalis a utilisé le chargement latéral de DLL, abusant de l’ordre de recherche normal de Windows non filtré par les EDRs, en plaçant une DLL malveillante à côté d’un exécutable légitime.
  • La porte dérobée était silencieuse, peu bruyante et orientée  espionnage avec d’autres objectifs que le chiffrement ou la destruction de données.
  • Enfin, le malware Chrysalis a opéré « à l’intérieur de la zone de confiance» où les contrôles de sécurité sont plus permissifs.

Redéfinir la notion de Confiance dans la sécurité Internet n’est plus une option

Chrysalis n’était pas qu’une simple nouvelle attaque, mais un avertissement démontrant la puissance d’une attaque scrupuleusement conçue. Elle a révélé l’urgence de renforcer tous les boucliers de protection existants avec une approche proactive complémentaire aux solutions réactives centrées sur les menaces.

La technologie Zero Trust Internet Access (ZTIA) d’Ekinops, autorise les accès Internet uniquement aux domaines vérifiés et légitimes, éliminant ainsi les risques liés aux contenus non identifiés tout en protégeant des cyberattaques basées sur le web, y compris les plus complexes comme Chrysalis. Les modèles de sécurité traditionnels « centrés sur les menaces » ont non seulement du mal à contrer l’ultra-sophistication de nouvelles attaques, mais aussi du mal à contrer l’explosion de nouveaux malwares qui surgissent chaque jour depuis des nouveaux sites malveillants. Le Zero Trust Internet Access (ZTIA) d’Ekinops fournit aux systèmes d’information une couche de sécurité centrée sur la confiance, fiable et non permissive : l’accès aux URL inconnues et non vérifiées est purement et simplement bloqué. Ekinops est un fournisseur mondial de solutions de connectivité réseau ouvertes, fiables et innovantes au service des opérateurs de télécommunications et des entreprises du monde entier. Ekinops est cotée sur Euronext Paris. En juin 2025, Ekinops a acquis Olfeo, une entreprise française de cybersécurité spécialisée dans l’accès Internet sécurisé par sa plateforme Security Service Edge (SSE) depuis 2003. Cette alliance a créé un fournisseur SASE européen de premier plan qui unifie la connectivité, la sécurité réseau et le contrôle d’accès.

Au cœur des solutions Olfeo by Ekinops se trouve la technologie exclusive Zero Trust Internet Access, qui protège les systèmes d’information en autorisant uniquement le contenu web légitime et vérifié, couvrant plus de 99 % des requêtes web. Combinée avec Ekinops SD-WAN, elle offre la première solution européenne proposant à la fois des performances réseau optimisées et un accès sécurisé aux applications. Disponibles en modèles SaaS ou On-Premise, les solutions Olfeo by Ekinops sont rapides à déployer et incluent des fonctionnalités de cybersécurité avancées telles que le SWG, le DNS, le CASB et la DLP.

Approuvée par plus de 500 organisations (entreprises de taille moyenne, grandes entreprises, ministères, hôpitaux et collectivités territoriales), Olfeo by Ekinops est reconnue pour son excellence technologique et porte fièrement les labels « Utilisé par l’Armée française » et « France Cybersécurité », reflétant sa qualité et sa fiabilité.

Pour en savoir plus, contactez-nous pour une demande de démo.