Code Velocity
Sécurité IA

Compromission de l'outil de développement Axios : OpenAI réagit à une attaque de la chaîne d'approvisionnement

·11 min de lecture·OpenAI·Source originale
Partager
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Réponse d'OpenAI à la compromission de l'outil de développement Axios, soulignant les mises à jour de sécurité des applications macOS.

title: "Compromission de l'outil de développement Axios : OpenAI réagit à une attaque de la chaîne d'approvisionnement" slug: "axios-developer-tool-compromise" date: "2026-04-11" lang: "fr" source: "https://openai.com/index/axios-developer-tool-compromise/" category: "Sécurité IA" keywords:

  • OpenAI
  • Axios
  • outil de développement
  • attaque de la chaîne d'approvisionnement
  • sécurité macOS
  • signature de code
  • compromission de sécurité
  • vulnérabilité logicielle
  • ChatGPT Desktop
  • Codex App
  • Atlas
  • GitHub Actions meta_description: "OpenAI répond à un incident de sécurité impliquant un outil de développement Axios compromis, initiant la rotation des certificats d'application macOS. Les données des utilisateurs restent en sécurité, exhortant les mises à jour pour une sécurité renforcée." image: "/images/articles/axios-developer-tool-compromise.png" image_alt: "Réponse d'OpenAI à la compromission de l'outil de développement Axios, soulignant les mises à jour de sécurité des applications macOS." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 11 faq:
  • question: "Les produits OpenAI ou les données des utilisateurs ont-ils été compromis ?" answer: "Non. L'enquête approfondie d'OpenAI sur la compromission de l'outil de développement Axios n'a trouvé aucune preuve que des produits OpenAI aient été compromis ou que des données d'utilisateurs aient été consultées ou exposées. L'entreprise a confirmé que ses systèmes et sa propriété intellectuelle sont restés intacts, et que son logiciel n'a pas été altéré. Cet incident était principalement une attaque de la chaîne d'approvisionnement sur une bibliothèque tierce, et OpenAI a agi par excès de prudence pour protéger ses applications macOS, malgré l'absence d'impact direct sur les informations des utilisateurs ou les systèmes centraux. Cette mesure proactive assure l'intégrité continue de leur plateforme et la confidentialité de leurs utilisateurs, même face à des risques théoriques."
  • question: "Avez-vous vu des logiciels malveillants signés comme OpenAI ?" answer: "OpenAI a confirmé que, d'après son enquête, il n'y a aucune preuve que les matériaux de notarisation et de signature de code potentiellement exposés aient été utilisés à mauvais escient pour signer des logiciels malveillants se présentant comme des applications OpenAI légitimes. Tous les événements de notarisation associés aux matériaux impactés ont été examinés et confirmés comme étant légitimes. Bien que le risque d'une telle utilisation abusive ait été la principale raison de leur réponse proactive, une surveillance continue est en place pour détecter toute activité non autorisée. Les utilisateurs sont encouragés à rester vigilants et à ne télécharger des applications qu'à partir de sources officielles."
  • question: "Dois-je changer mon mot de passe ?" answer: "Non, il n'est pas nécessaire que les utilisateurs changent leurs mots de passe ou leurs clés API OpenAI. L'incident de sécurité impliquant la compromission de l'outil de développement Axios n'a pas eu d'impact sur les identifiants d'utilisateur ou les clés API. Les systèmes internes d'OpenAI détenant de telles informations sensibles n'ont pas été violés, et la nature de la compromission était isolée au processus de signature d'application pour les applications macOS. Les utilisateurs peuvent être certains que la sécurité de leur compte reste intacte et qu'aucune action n'est requise de leur part concernant les identifiants."
  • question: "Cela affecte-t-il iOS, Android, Linux ou Windows ?" answer: "Non, cet incident de sécurité n'affecte spécifiquement que les applications macOS d'OpenAI, y compris ChatGPT Desktop, Codex App, Codex CLI et Atlas. La compromission était liée à un workflow GitHub Actions utilisé exclusivement pour le processus de signature des applications macOS. Les utilisateurs sur les plateformes iOS, Android, Linux ou Windows, y compris ceux qui accèdent aux services OpenAI via des navigateurs web, ne sont pas affectés par cet incident particulier et n'ont pas besoin de prendre de mesures liées à cet avis. La vulnérabilité était spécifique à la plateforme en raison de la nature de l'exposition du certificat de signature."
  • question: "Pourquoi me demandez-vous de mettre à jour mes applications Mac ?" answer: "OpenAI demande de manière proactive aux utilisateurs macOS de mettre à jour leurs applications en raison d'une exposition identifiée au sein d'un workflow GitHub Actions qui faisait partie du processus de signature des applications macOS. Bien qu'il n'y ait aucune preuve de mauvaise utilisation, OpenAI procède à la rotation de ses certificats de notarisation et de signature de code par prudence. La mise à jour de vos applications Mac garantit qu'elles sont signées avec le nouveau certificat sécurisé, ce qui vérifie que le logiciel provient véritablement d'OpenAI et n'a pas été altéré, protégeant ainsi contre de potentielles tentatives d'usurpation d'identité futures et assurant l'intégrité de vos applications installées."
  • question: "Que se passe-t-il après le 8 mai 2026 ?" answer: "Après le 8 mai 2026, les anciennes versions des applications de bureau macOS d'OpenAI – spécifiquement ChatGPT Desktop (antérieures à 1.2026.051), Codex App (antérieures à 26.406.40811), Codex CLI (antérieures à 0.119.0) et Atlas (antérieures à 1.2026.84.2) – ne recevront plus de mises à jour ni de support officiel. Plus important encore, ces anciennes versions pourraient cesser de fonctionner entièrement, car les protections de sécurité macOS commenceront à bloquer les téléchargements et les lancements d'applications signées avec le certificat révoqué. Il est fortement conseillé aux utilisateurs de mettre à jour avant cette date pour conserver toutes les fonctionnalités et la sécurité et éviter toute interruption de service."
  • question: "Pourquoi ne révoquez-vous pas le certificat immédiatement ?" answer: "OpenAI a choisi une approche progressive pour la révocation des certificats, en mettant en œuvre une fenêtre de 30 jours avant la révocation complète le 8 mai 2026. Cette décision a été prise pour minimiser les perturbations pour les utilisateurs. Bien que les nouvelles notarizations avec le certificat précédent aient déjà été bloquées, une révocation complète immédiate entraînerait le blocage par macOS des téléchargements et des premiers lancements des applications existantes signées avec ce certificat. La période de grâce permet aux utilisateurs de mettre à jour leurs applications en douceur via des mécanismes intégrés, assurant la continuité du service tout en atténuant les risques. OpenAI surveille activement toute utilisation abusive et est prête à accélérer la révocation si nécessaire."

# Compromission de l'outil de développement Axios : OpenAI réagit à une attaque de la chaîne d'approvisionnement

## Traitement de la compromission de l'outil de développement Axios : Un aperçu

OpenAI a récemment annoncé un incident de sécurité impliquant Axios, un outil de développement tiers largement utilisé, qui a été compromis dans le cadre d'une attaque de la chaîne d'approvisionnement logicielle plus large à l'échelle de l'industrie. Cet incident, initialement signalé le 31 mars 2026 par Google Cloud, a mis en évidence une vulnérabilité où une version malveillante d'Axios (version 1.14.1) a été exécutée par inadvertance. Pour OpenAI, cela s'est produit dans un workflow GitHub Actions spécifique utilisé pour le processus de signature des applications macOS.

Malgré l'exposition potentielle, l'enquête approfondie d'OpenAI n'a trouvé aucune preuve que des données d'utilisateur aient été consultées, que des systèmes internes ou de la propriété intellectuelle aient été compromis, ou que l'un de ses logiciels ait été altéré. L'entreprise a souligné son engagement envers la transparence et une action rapide, en initiant immédiatement une réponse complète pour atténuer tout risque théorique et informer sa base d'utilisateurs. Cette approche proactive souligne l'importance critique de la sécurité de la chaîne d'approvisionnement dans le développement logiciel moderne, en particulier pour les outils de développement qui sont profondément intégrés dans les workflows de production.

## Réponse proactive d'OpenAI et mesures de sécurité renforcées

En réponse à la compromission d'Axios, OpenAI a pris des mesures décisives pour protéger ses applications macOS et la confiance des utilisateurs. Le cœur de leur stratégie implique la rotation et la révocation des certificats de sécurité utilisés pour signer leurs applications macOS. Un workflow GitHub Actions, responsable du processus de signature des applications macOS, a temporairement téléchargé et exécuté la version malveillante d'Axios. Ce workflow avait accès à des matériaux critiques de certificat et de notarisation essentiels pour vérifier l'authenticité des applications d'OpenAI, telles que ChatGPT Desktop, [Codex App](/fr/openai-gpt-5-2-codex), Codex CLI et Atlas.

Bien que l'analyse initiale suggère que le certificat de signature n'a probablement pas été exfiltré avec succès par la charge utile malveillante en raison du timing et du séquençage des événements, OpenAI traite le certificat comme compromis par excès de prudence. Cette position proactive signifie que tous les utilisateurs macOS sont désormais tenus de mettre à jour leurs applications OpenAI vers les dernières versions. Cette mesure est cruciale pour prévenir toute tentative potentielle par des entités non autorisées de distribuer de fausses applications qui pourraient apparaître comme des logiciels OpenAI légitimes, maintenant ainsi l'intégrité et la sécurité de leur écosystème.

## Applications macOS impactées et mises à jour requises

L'incident de sécurité cible spécifiquement les applications macOS d'OpenAI, nécessitant des mises à jour immédiates pour les utilisateurs. La compromission de l'outil de développement Axios a principalement affecté le processus de signature de ces applications de bureau. Les utilisateurs de ChatGPT Desktop, Codex App, Codex CLI et Atlas sur macOS sont invités à mettre à jour leur logiciel vers les dernières versions. Cela garantit que leurs applications sont signées avec le nouveau certificat sécurisé d'OpenAI, ce qui est vital pour maintenir la confiance et la sécurité attendues des logiciels officiels.

À compter du 8 mai 2026, les anciennes versions de ces applications macOS cesseront de recevoir des mises à jour ou un support, et pourraient devenir non fonctionnelles. Cette date limite est fixée pour offrir une fenêtre suffisante aux utilisateurs pour passer aux nouvelles versions signées en toute sécurité. Voici un tableau détaillant les applications affectées et les versions minimales requises qui intègrent le certificat mis à jour :

| Application        | Version minimale mise à jour |
| :----------------- | :---------------------- |
| ChatGPT Desktop    | 1.2026.051              |
| Codex App          | 26.406.40811            |
| Codex CLI          | 0.119.0                 |
| Atlas              | 1.2026.84.2             |

Les utilisateurs ne doivent télécharger les mises à jour qu'au moyen de notifications intégrées à l'application ou via des liens de téléchargement officiels fournis directement par OpenAI. Évitez tout lien reçu par le biais d'e-mails non sollicités, de messages ou de sites web tiers, car ceux-ci pourraient être des tentatives malveillantes d'exploiter la situation.

## Enquête, remédiation et sécurité de la chaîne d'approvisionnement

La réponse d'OpenAI a inclus une enquête approfondie, faisant appel à une société tierce spécialisée en criminalistique numérique et en réponse aux incidents. Les efforts de remédiation clés ont impliqué la rotation du certificat de signature de code macOS, la publication de nouvelles versions de tous les produits macOS affectés avec ce nouveau certificat, et la collaboration avec Apple pour empêcher tout logiciel signé avec le certificat précédent d'être nouvellement notarisé. L'entreprise a également examiné avec diligence toutes les notarizations effectuées avec le certificat précédent, confirmant qu'aucune notarization de logiciel inattendue ne s'était produite, et a validé que les logiciels publiés sont restés exempts de modifications non autorisées.

La cause principale de cet incident a été identifiée comme une mauvaise configuration dans le workflow GitHub Actions, spécifiquement l'utilisation d'une balise flottante pour une dépendance au lieu d'un hachage de commit épinglé et spécifique, et l'absence d'un `minimumReleaseAge` configuré pour les nouveaux paquets. Cette vulnérabilité dans la chaîne d'approvisionnement de [GitHub Actions](/fr/github-agentic-workflows) a permis l'exécution de la version malveillante d'Axios. OpenAI a depuis corrigé cette mauvaise configuration, renforçant la sécurité de son pipeline CI/CD contre des attaques similaires de la chaîne d'approvisionnement. Cet incident sert de rappel critique à tous les développeurs d'implémenter des pratiques robustes de sécurité de la chaîne d'approvisionnement, y compris une gestion rigoureuse des dépendances et une configuration des workflows.

## Assurer la confiance des utilisateurs et la protection des données

La principale préoccupation d'OpenAI tout au long de cet incident a été la sécurité et la confidentialité des informations des utilisateurs. En divulguant rapidement le problème et en prenant des mesures exhaustives, ils visent à renforcer la confiance des utilisateurs. L'engagement de l'entreprise envers la transparence est évident dans sa déclaration publique détaillée et la mise à disposition d'une section FAQ étendue pour répondre directement aux préoccupations des utilisateurs. Ils ont confirmé qu'aucun mot de passe d'utilisateur ou clé API OpenAI n'a été affecté, et l'incident a été isolé au processus de signature des applications macOS.

L'approche progressive de la révocation des certificats, avec une fenêtre de 30 jours avant le 8 mai 2026, démontre également une perspective centrée sur l'utilisateur. Cette période de grâce permet aux utilisateurs de mettre à jour leurs applications sans interruption immédiate, assurant la continuité du service tout en éliminant progressivement le certificat potentiellement compromis. OpenAI continue de surveiller tout indicateur de mauvaise utilisation et s'est engagé à accélérer le calendrier de révocation si une activité malveillante est détectée.

## Principaux points à retenir pour les utilisateurs macOS d'OpenAI

Pour tous les utilisateurs des applications macOS d'OpenAI, l'action la plus critique est de mettre à jour votre logiciel immédiatement. Ce faisant, vous vous assurez que vos applications sont signées avec le nouveau certificat sécurisé, vous protégeant ainsi contre les attaques potentielles d'usurpation d'identité et garantissant la continuité des fonctionnalités après le 8 mai 2026. Obtenez toujours les mises à jour directement depuis les canaux officiels d'OpenAI – soit via les invites intégrées à l'application, soit via leur site web officiel. Évitez les sources tierces ou les liens suspects. Bien que l'incident ait posé un risque théorique pour l'authenticité des applications macOS, la réponse rapide et complète d'OpenAI a efficacement contenu l'impact potentiel, permettant aux utilisateurs de continuer à utiliser leurs outils d'IA innovants en toute confiance.

Source originale

https://openai.com/index/axios-developer-tool-compromise/

Questions Fréquentes

Were OpenAI products or user data compromised?
No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.
Have you seen malware signed as OpenAI?
OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.
Do I need to change my password?
No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.
Does this affect iOS, Android, Linux, or Windows?
No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.
Why are you asking me to update my Mac apps?
OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.
What happens after May 8, 2026?
After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.
Why are you not revoking the certificate immediately?
OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Restez informé

Recevez les dernières actualités IA dans votre boîte mail.

Partager