Le threat modeling est une pratique bien \u00e9tablie en s\u00e9curit\u00e9 applicative. Les \u00e9quipes mod\u00e9lisent r\u00e9guli\u00e8rement les menaces pesant sur les API, les services backend et les environnements de production.<\/p>\n
Cependant, les pipelines CI\/CD sont souvent exclus des exercices formels de threat modeling, alors qu\u2019ils constituent l\u2019un des composants les plus critiques des syst\u00e8mes logiciels modernes.<\/p>\n
C\u2019est une lacune dangereuse.<\/p>\n
Les pipelines CI\/CD se situent \u00e0 l\u2019intersection d\u2019entr\u00e9es non fiables, de privil\u00e8ges \u00e9lev\u00e9s et de sorties de confiance. Ce sont pr\u00e9cis\u00e9ment le type de syst\u00e8mes o\u00f9 le threat modeling apporte le plus de valeur \u2014 et pourtant, ils sont fr\u00e9quemment consid\u00e9r\u00e9s comme de la \u00ab\u00a0simple automatisation\u00a0\u00bb.<\/p>\n
Cet article explique comment mod\u00e9liser efficacement les menaces des pipelines CI\/CD, en se concentrant sur l\u2019identification des trust boundaries, la compr\u00e9hension des chemins d\u2019attaque et la priorisation des contr\u00f4les qui r\u00e9duisent r\u00e9ellement les risques.<\/p>\n
Les approches traditionnelles de threat modeling supposent g\u00e9n\u00e9ralement un p\u00e9rim\u00e8tre syst\u00e8me relativement stable : une application s\u2019ex\u00e9cutant en production, avec des utilisateurs, des flux de donn\u00e9es et des actifs bien d\u00e9finis.<\/p>\n
Les pipelines CI\/CD remettent en cause bon nombre de ces hypoth\u00e8ses.<\/p>\n
Un pipeline n\u2019est pas un syst\u00e8me unique. C\u2019est une cha\u00eene dynamique de syst\u00e8mes qui :<\/p>\n
En d\u2019autres termes, les pipelines ne sont pas simplement partie int\u00e9grante du processus de livraison \u2014 ce sont des m\u00e9canismes de transformation de la confiance.<\/p>\n
Le threat modeling des pipelines CI\/CD n\u00e9cessite donc un changement de mentalit\u00e9 :<\/p>\n
\nL\u2019objectif n\u2019est pas seulement de pr\u00e9venir les compromissions, mais de comprendre o\u00f9 la confiance est cr\u00e9\u00e9e, amplifi\u00e9e ou viol\u00e9e.<\/p>\n<\/blockquote>\n
\nCe que nous prot\u00e9geons r\u00e9ellement<\/h2>\n
Avant d\u2019identifier les menaces, il est essentiel de clarifier quels actifs un pipeline CI\/CD est charg\u00e9 de prot\u00e9ger.<\/p>\n
Les actifs courants d\u2019un pipeline incluent :<\/p>\n
\n
- Int\u00e9grit\u00e9 du code source<\/strong> \u2014 garantir que le code n\u2019est pas modifi\u00e9 de mani\u00e8re inattendue<\/li>\n
- Int\u00e9grit\u00e9 du build<\/strong> \u2014 garantir que les builds s\u2019ex\u00e9cutent comme pr\u00e9vu<\/li>\n
- Int\u00e9grit\u00e9 des artefacts<\/strong> \u2014 garantir que les sorties correspondent aux entr\u00e9es<\/li>\n
- Secrets et identifiants<\/strong> \u2014 tokens, cl\u00e9s et identit\u00e9s utilis\u00e9s par l\u2019automatisation<\/li>\n
- Authenticit\u00e9 des releases<\/strong> \u2014 garantir que les livraisons sont l\u00e9gitimes et attribuables<\/li>\n<\/ul>\n
Une attaque r\u00e9ussie contre un pipeline n\u2019implique pas toujours le vol de donn\u00e9es ou le crash de syst\u00e8mes. Souvent, l\u2019objectif de l\u2019attaquant est bien plus subtil :<\/p>\n
\nIntroduire un comportement malveillant tout en pr\u00e9servant l\u2019apparence de l\u00e9gitimit\u00e9.<\/p>\n<\/blockquote>\n
\nComprendre les trust boundaries dans le CI\/CD<\/h2>\n
Un trust boundary existe chaque fois que des donn\u00e9es ou un contr\u00f4le passent d\u2019un contexte moins fiable \u00e0 un contexte plus fiable.<\/p>\n
Dans les pipelines CI\/CD, les trust boundaries sont omnipr\u00e9sents \u2014 mais rarement explicites.<\/p>\n
Le threat modeling commence par identifier ces fronti\u00e8res et poser une question simple :<\/p>\n
\nQuelles hypoth\u00e8ses faisons-nous sur la confiance \u00e0 ce stade ?<\/p>\n<\/blockquote>\n
\n1. Entr\u00e9es de code source<\/h3>\n
Les pipelines consomment du code source provenant de d\u00e9p\u00f4ts, de branches, de tags et de pull requests. Toutes ces entr\u00e9es n\u2019ont pas le m\u00eame niveau de confiance.<\/p>\n
\n
- Les branches principales peuvent \u00eatre restreintes et r\u00e9vis\u00e9es<\/li>\n
- Les branches de fonctionnalit\u00e9s peuvent \u00eatre faiblement contr\u00f4l\u00e9es<\/li>\n
- Les pull requests peuvent inclure des contributions non fiables<\/li>\n<\/ul>\n
Pourtant, de nombreux pipelines traitent toutes les entr\u00e9es de code comme \u00e9galement fiables.<\/p>\n
Cela cr\u00e9e une surface d\u2019attaque o\u00f9 du code non fiable peut influencer les processus de build et de d\u00e9ploiement de confiance.<\/p>\n
\n2. R\u00e9solution des d\u00e9pendances<\/h3>\n
Les builds modernes r\u00e9solvent les d\u00e9pendances dynamiquement \u00e0 partir d\u2019\u00e9cosyst\u00e8mes externes : registres de paquets, registres de conteneurs et d\u00e9p\u00f4ts d\u2019artefacts.<\/p>\n
Chaque \u00e9tape de r\u00e9solution de d\u00e9pendances franchit un trust boundary :<\/p>\n
\n
- Du contr\u00f4le interne vers une infrastructure externe<\/li>\n
- D\u2019entr\u00e9es v\u00e9rifi\u00e9es vers du code tiers<\/li>\n<\/ul>\n
Le threat modeling doit prendre en compte :<\/p>\n
\n
- La dependency confusion<\/li>\n
- Le typosquatting<\/li>\n
- Les paquets upstream compromis<\/li>\n<\/ul>\n
Ignorer les d\u00e9pendances dans le threat modeling laisse un chemin d\u2019attaque majeur inexplor\u00e9.<\/p>\n
\n3. Runners CI\/CD et environnements d\u2019ex\u00e9cution<\/h3>\n
Les runners sont l\u2019endroit o\u00f9 la logique du pipeline s\u2019ex\u00e9cute r\u00e9ellement. Ils constituent l\u2019un des trust boundaries les plus critiques \u2014 et les plus mal compris.<\/p>\n
Les runners ex\u00e9cutent :<\/p>\n
\n
- Du code source<\/li>\n
- Des scripts de build<\/li>\n
- Des actions ou plugins tiers<\/li>\n<\/ul>\n
Si les runners sont consid\u00e9r\u00e9s comme une infrastructure de confiance, mais qu\u2019ils ex\u00e9cutent des entr\u00e9es non fiables, le trust boundary s\u2019effondre.<\/p>\n
Le threat modeling doit explicitement consid\u00e9rer :<\/p>\n
\n
- L\u2019isolation des runners<\/li>\n
- La persistance entre les jobs<\/li>\n
- L\u2019acc\u00e8s au r\u00e9seau et au syst\u00e8me de fichiers<\/li>\n
- L\u2019acc\u00e8s aux secrets<\/li>\n<\/ul>\n
\n4. Configuration et orchestration du pipeline<\/h3>\n
Les fichiers de configuration CI\/CD d\u00e9finissent ce qui s\u2019ex\u00e9cute, quand cela s\u2019ex\u00e9cute et avec quelles permissions.<\/p>\n
Ce sont en fait des plans de contr\u00f4le<\/em> pour le processus de livraison.<\/p>\n
Toute modification de la configuration du pipeline peut :<\/p>\n
\n
- Alt\u00e9rer le flux d\u2019ex\u00e9cution<\/li>\n
- \u00c9tendre les privil\u00e8ges<\/li>\n
- Introduire de nouveaux chemins d\u2019attaque<\/li>\n<\/ul>\n
Le threat modeling doit traiter les modifications de configuration avec la m\u00eame rigueur que les modifications du code de production.<\/p>\n
\n5. Artefacts et transfert vers le d\u00e9ploiement<\/h3>\n
Le dernier trust boundary est le transfert du pipeline vers la production.<\/p>\n
\u00c0 ce stade, les environnements de production supposent souvent :<\/p>\n
\nSi cela provient du CI\/CD, c\u2019est s\u00fbr.<\/p>\n<\/blockquote>\n
Cette hypoth\u00e8se est pr\u00e9cis\u00e9ment ce que les attaquants exploitent.<\/p>\n
Sans v\u00e9rification d\u2019int\u00e9grit\u00e9 et contr\u00f4les de provenance, la production ne peut pas distinguer les artefacts l\u00e9gitimes des artefacts empoisonn\u00e9s.<\/p>\n
\nIdentifier les chemins d\u2019attaque courants en CI\/CD<\/h2>\n
Une fois les trust boundaries identifi\u00e9s, l\u2019\u00e9tape suivante consiste \u00e0 cartographier les chemins d\u2019attaque r\u00e9alistes.<\/p>\n
L\u2019objectif n\u2019est pas d\u2019\u00e9num\u00e9rer toutes les menaces th\u00e9oriques, mais de comprendre comment les attaquants se d\u00e9placent \u00e0 travers le syst\u00e8me.<\/p>\n
\nChemin d\u2019attaque 1 : De la pull request \u00e0 l\u2019exfiltration de secrets<\/h3>\n
Un chemin d\u2019attaque courant implique :<\/p>\n
\n
- Un attaquant soumet une pull request<\/li>\n
- Le pipeline ex\u00e9cute le code de la PR<\/li>\n
- Les secrets sont expos\u00e9s dans l\u2019environnement de build<\/li>\n
- L\u2019attaquant exfiltre les identifiants<\/li>\n<\/ol>\n
Cette attaque n\u2019exploite pas une vuln\u00e9rabilit\u00e9 \u2014 elle exploite une hypoth\u00e8se de confiance implicite.<\/p>\n
\nChemin d\u2019attaque 2 : De la compromission de d\u00e9pendance \u00e0 l\u2019empoisonnement du build<\/h3>\n
Un autre chemin courant :<\/p>\n
\n
- Une d\u00e9pendance est compromise en amont<\/li>\n
- Le pipeline r\u00e9sout la d\u00e9pendance<\/li>\n
- Du code malveillant s\u2019ex\u00e9cute pendant le build<\/li>\n
- Les artefacts sont modifi\u00e9s avant leur publication<\/li>\n<\/ol>\n
Sans contr\u00f4les d\u2019int\u00e9grit\u00e9 ni v\u00e9rification de provenance, l\u2019artefact empoisonn\u00e9 peut sembler parfaitement l\u00e9gitime.<\/p>\n
\nChemin d\u2019attaque 3 : Manipulation de la configuration du pipeline<\/h3>\n
Les fichiers de configuration du pipeline font souvent l\u2019objet de moins de scrutin que le code applicatif.<\/p>\n
Un attaquant capable de modifier la configuration peut :<\/p>\n
\n
- Ajouter des \u00e9tapes d\u2019ex\u00e9cution cach\u00e9es<\/li>\n
- \u00c9tendre silencieusement les permissions<\/li>\n
- Rediriger les sorties d\u2019artefacts<\/li>\n<\/ul>\n
Ce chemin d\u2019attaque est particuli\u00e8rement dangereux car il peut persister \u00e0 travers de multiples builds.<\/p>\n
\nChemin d\u2019attaque 4 : Compromission des runners et mouvement lat\u00e9ral<\/h3>\n
Si les runners sont partag\u00e9s, persistants ou mal isol\u00e9s, un attaquant peut :<\/p>\n
\n
- Persister entre les jobs<\/li>\n
- Voler des secrets d\u2019autres pipelines<\/li>\n
- Modifier les builds futurs<\/li>\n<\/ul>\n
Dans certains cas, la compromission d\u2019un runner fournit un acc\u00e8s aux r\u00e9seaux internes ou aux environnements cloud.<\/p>\n
\nCartographier visuellement les trust boundaries<\/h2>\n
Un threat modeling efficace b\u00e9n\u00e9ficie de repr\u00e9sentations visuelles.<\/p>\n
Pour les pipelines CI\/CD, les diagrammes doivent se concentrer sur :<\/p>\n
\n
- O\u00f9 les entr\u00e9es non fiables p\u00e9n\u00e8trent<\/li>\n
- O\u00f9 les privil\u00e8ges augmentent<\/li>\n
- O\u00f9 les artefacts sont produits et consomm\u00e9s<\/li>\n<\/ul>\n
Chaque fl\u00e8che du diagramme repr\u00e9sente une transition de confiance. Chaque transition est un candidat pour l\u2019application de contr\u00f4les.<\/p>\n
La question cl\u00e9 \u00e0 chaque fronti\u00e8re est :<\/p>\n
\nQuelles garanties avons-nous \u00e0 ce stade, et comment sont-elles appliqu\u00e9es ?<\/p>\n<\/blockquote>\n
\nPrioriser les contr\u00f4les en fonction du threat modeling<\/h2>\n
Le threat modeling n\u2019a de valeur que s\u2019il guide l\u2019action.<\/p>\n
Pour les pipelines CI\/CD, les contr\u00f4les \u00e0 plus fort impact incluent g\u00e9n\u00e9ralement :<\/p>\n
1. R\u00e9duire la confiance implicite<\/h3>\n
Distinguer explicitement les entr\u00e9es fiables des entr\u00e9es non fiables. Ne pas exposer les secrets ni les actions privil\u00e9gi\u00e9es aux contextes non fiables.<\/p>\n
2. Appliquer le principe du moindre privil\u00e8ge<\/h3>\n
Les identit\u00e9s des pipelines doivent \u00eatre limit\u00e9es par job, par \u00e9tape et par environnement. \u00c9viter les tokens \u00e0 longue dur\u00e9e de vie et \u00e0 port\u00e9e \u00e9tendue.<\/p>\n
3. Isoler les environnements d\u2019ex\u00e9cution<\/h3>\n
Les runners doivent \u00eatre \u00e9ph\u00e9m\u00e8res ou fortement isol\u00e9s. Les charges de travail non fiables ne doivent jamais partager un contexte d\u2019ex\u00e9cution avec celles de confiance.<\/p>\n
4. V\u00e9rifier l\u2019int\u00e9grit\u00e9 des artefacts<\/h3>\n
Les artefacts doivent \u00eatre sign\u00e9s, attest\u00e9s et v\u00e9rifi\u00e9s avant le d\u00e9ploiement. La production doit se fier \u00e0 la v\u00e9rification \u2014 pas aux hypoth\u00e8ses.<\/p>\n
5. Traiter la configuration du pipeline comme du code \u00e0 haut risque<\/h3>\n
Appliquer des revues, des politiques et des validations aux modifications de la configuration CI\/CD. Emp\u00eacher l\u2019extension silencieuse de l\u2019ex\u00e9cution ou des privil\u00e8ges.<\/p>\n
\nErreurs courantes dans le threat modeling CI\/CD<\/h2>\n
M\u00eame lorsque les organisations tentent de mod\u00e9liser les menaces des pipelines, elles tombent souvent dans des pi\u00e8ges pr\u00e9visibles.<\/p>\n
\n
- Se concentrer uniquement sur les outils, pas sur les relations de confiance<\/li>\n
- Supposer qu\u2019\u00ab\u00a0interne\u00a0\u00bb signifie \u00ab\u00a0de confiance\u00a0\u00bb<\/li>\n
- Ignorer les composants tiers<\/li>\n
- Mod\u00e9liser des architectures id\u00e9alis\u00e9es au lieu des pipelines r\u00e9els<\/li>\n<\/ul>\n
Un threat modeling efficace doit refl\u00e9ter le fonctionnement r\u00e9el des pipelines, et non la mani\u00e8re dont nous souhaiterions qu\u2019ils fonctionnent.<\/p>\n
\nConclusion<\/h2>\n
Les pipelines CI\/CD ne sont pas des syst\u00e8mes p\u00e9riph\u00e9riques. Ils sont au c\u0153ur de l\u2019int\u00e9grit\u00e9, de la s\u00e9curit\u00e9 et de la confiance dans les logiciels.<\/p>\n
Le threat modeling des pipelines r\u00e9v\u00e8le des chemins d\u2019attaque que les mod\u00e8les de menaces applicatifs traditionnels manquent, car l\u2019objectif de l\u2019attaquant n\u2019est pas d\u2019exploiter un comportement en production, mais de contr\u00f4ler ce qui est livr\u00e9 en premier lieu.<\/p>\n
En identifiant les trust boundaries, en cartographiant les chemins d\u2019attaque r\u00e9alistes et en priorisant des contr\u00f4les applicables, les organisations peuvent r\u00e9duire significativement le risque d\u2019attaques de la cha\u00eene d\u2019approvisionnement logicielle.<\/p>\n
Le changement le plus important est conceptuel :<\/p>\n
\nSi vous ne mod\u00e9lisez pas explicitement la confiance dans votre pipeline, vous vous appuyez sur des hypoth\u00e8ses \u2014 et les attaquants exploitent les hypoth\u00e8ses.<\/p>\n<\/blockquote>\n
\n