Microsoft met en garde les entreprises contre la nouvelle technique d'attaque de la "confusion de dépendance"

zdnet, 10/02/2021

Partagé par : 

Beesens TEAM

Microsoft met en garde les entreprises contre la nouvelle technique d'attaque de la "confusion de dépendance"

"Une nouvelle technique appelée "confusion de dépendance" (dependency confusion), également connue sous le nom d'"attaque de substitution", permet aux acteurs de la menace de faire passer en douce du code malveillant dans des dépôts de code privés, en enregistrant les noms des bibliothèques internes dans les index de paquets publics.
Microsoft a publié mardi un livre blanc sur un nouveau type de technique d'attaque appelé "confusion de dépendance" (dependency confusion, en anglais dans le texte) ou "attaque de substitution". Cette technique peut être utilisé pour empoisonner le processus de création d'applications dans les entreprises.

La technique s'articule autour de concepts comme les gestionnaires de paquets, les dépôts de paquets publics et privés, et les processus de construction. Aujourd'hui, les développeurs de petites ou grandes entreprises utilisent des gestionnaires de paquets pour télécharger et importer des bibliothèques qui sont ensuite assemblées à l'aide d'outils de construction pour créer une application finale...." Lire la suite