Le 31 mars 2026, un outil informatique utilisé par des millions de sites web et d'applications a été piraté. Pendant 3 heures, chaque développeur qui le mettait à jour installait sans le savoir un virus sur son ordinateur. Ce virus permettait à des pirates, un groupe nord-coréen, de prendre le contrôle total de la machine à distance.
L'outil en question s'appelle Axios. Vous n'en avez probablement jamais entendu parler, et c'est justement le problème.
Axios : un rouage invisible mais omniprésent
Quand vous utilisez une application web ou mobile (consulter votre banque en ligne, remplir un formulaire, charger un tableau de bord), cette application a besoin de communiquer avec un serveur. Axios est le programme qui gère ces échanges en coulisses. Il est téléchargé plus de 80 millions de fois par semaine et intégré dans une quantité innombrable d'applications professionnelles.
Axios est un logiciel open source : son code est public, maintenu par des bénévoles, et distribué via un catalogue en ligne appelé npm (une sorte d'App Store pour les développeurs). Quand un développeur met à jour ses outils, il télécharge automatiquement la dernière version depuis ce catalogue. Sans vérification. En toute confiance.
C'est précisément cette confiance que les attaquants ont exploitée.
Le film de l'attaque
Étape 1 : piéger le responsable du projet
Les attaquants, identifiés par Microsoft et Google comme un groupe étatique nord-coréen, n'ont pas cherché à forcer un mot de passe. Ils ont fait bien plus malin : ils ont manipulé le responsable principal d'Axios par ingénierie sociale. En se faisant passer pour des contacts légitimes, ils ont réussi à installer un programme malveillant sur son ordinateur personnel. À partir de là, ils ont récupéré ses identifiants de connexion au catalogue npm et pris le contrôle de son compte.
Étape 2 : publier une mise à jour piégée
Avec cet accès, les pirates ont publié deux nouvelles versions d'Axios, en apparence tout à fait normales. En réalité, dès qu'un développeur installait l'une de ces versions, un programme caché se téléchargeait silencieusement en arrière-plan.
Ce programme était un cheval de Troie (RAT, Remote Access Trojan). Concrètement, il donnait aux pirates la capacité de contrôler l'ordinateur infecté à distance : lire les fichiers, voler les mots de passe, exécuter des commandes, installer d'autres virus. Le tout sur Windows, Mac et Linux. Et pour ne pas se faire repérer, le malware effaçait ses propres traces une fois installé.
Étape 3 : 3 heures avant la détection
Des chercheurs en sécurité ont identifié l'anomalie et donné l'alerte. Les versions piégées ont été retirées du catalogue en environ 3 heures. Mais 3 heures, c'est largement suffisant pour que des milliers de développeurs, et donc d'entreprises, aient installé la mise à jour compromise. Et le virus, lui, pouvait rester actif sur les machines même après le retrait d'Axios.
Le principe : empoisonner le fournisseur pour toucher tout le monde
Ce type d'attaque porte un nom : attaque supply chain (chaîne d'approvisionnement).
L'idée est simple. Plutôt que d'attaquer votre entreprise directement, le pirate empoisonne un outil que votre entreprise utilise. C'est comme si un fournisseur d'ingrédients alimentaires était contaminé : au lieu d'empoisonner chaque restaurant un par un, vous touchez tous les restaurants qui utilisent cet ingrédient d'un seul coup.
Ce n'est pas un cas isolé. En 2020, l'attaque SolarWinds a touché des agences gouvernementales américaines et des grandes entreprises. En 2021, Codecov a permis le vol de données d'accès à grande échelle. L'attaque Axios franchit un cap supplémentaire : elle est attribuée à un État, ce qui montre que ce type d'opération est désormais une arme géopolitique.
En quoi ça vous concerne, en tant que dirigeant ?
Vous n'utilisez pas Axios directement. Mais vos applications métier, vos outils internes, vos prestataires, vos développeurs, eux, très probablement. Et c'est là tout le problème : vous êtes exposé sans le savoir.
Le risque sur vos données est réel. Le virus pouvait aspirer mots de passe, accès cloud, bases clients, documents internes, code source. Tout ce qui a de la valeur dans votre système d'information.
Le risque ne s'arrête pas à un seul poste. L'ordinateur d'un développeur compromis peut devenir la porte d'entrée vers toute l'infrastructure de l'entreprise. Les pirates peuvent se déplacer d'une machine à l'autre, installer un ransomware, ou simplement observer en silence pendant des semaines.
Le risque business est le plus durable. Interruption d'activité pendant l'investigation, coûts de remédiation, amendes RGPD si des données personnelles sont touchées, et surtout perte de confiance de vos clients et partenaires. Ce dernier point est souvent le plus difficile à réparer.
Vous ne savez pas si votre entreprise est exposée ? Nous pouvons faire le point ensemble en 30 minutes, gratuitement et sans engagement. Prendre rendez-vous
Les trois questions que chaque dirigeant devrait se poser
1. Est-ce que je sais ce qui tourne dans mon entreprise ?
Une application métier moyenne embarque des centaines de composants logiciels. La plupart des entreprises n'ont aucun inventaire de ces composants. Quand un outil comme Axios est compromis, la première question est simple : est-ce qu'on l'utilise, et où ? Si personne ne peut répondre en quelques minutes, vous êtes aveugle face à ce type de menace.
2. Est-ce que je serais alerté à temps ?
L'attaque Axios a été neutralisée en 3 heures. Encore faut-il être en capacité de le savoir et d'agir dans ce délai. Sans surveillance continue de vos dépendances logicielles, une attaque supply chain peut rester dormante dans vos systèmes pendant des semaines, voire des mois, sans que personne ne s'en aperçoive.
3. Est-ce que mon équipe sait comment réagir ?
Quand la crise survient, chaque minute compte. Qui fait quoi ? Comment isole-t-on les systèmes touchés ? Comment communique-t-on en interne, et si nécessaire auprès des clients ? Ces questions doivent avoir des réponses avant que l'incident ne se produise, pas pendant.
Ce qu'il faut retenir
Les attaques supply chain changent les règles du jeu. Il ne s'agit plus seulement de protéger son périmètre avec un antivirus et un pare-feu. Il faut savoir exactement ce qui tourne chez soi, être capable de détecter une compromission rapidement, et avoir un plan pour réagir.
L'attaque Axios, menée par un groupe soutenu par un État, montre que personne n'est trop petit pour être ciblé. Les PME sont souvent les plus vulnérables, justement parce qu'elles pensent ne pas être une cible.
C'est un sujet de gouvernance, pas uniquement de technique. Et c'est un sujet à traiter maintenant, pas après le prochain incident.