OpenAI va révoquer ses certificats de signature macOS, après qu'un workflow de build interne a exécuté une version corrompue de la bibliothèque JavaScript Axios. Passé le 8 mai, ChatGPT Desktop, Codex et Atlas sur Mac cesseront de fonctionner.

Avec un certificat OpenAI potentiellement exposé, un attaquant aurait pu distribuer une fausse application signée, reconnue comme authentique par le système, sans blocage - ©bangoland / Shutterstock
Avec un certificat OpenAI potentiellement exposé, un attaquant aurait pu distribuer une fausse application signée, reconnue comme authentique par le système, sans blocage - ©bangoland / Shutterstock

Dans la nuit du 30 au 31 mars 2026, des attaquants, attribués à la Corée du Nord par les chercheurs de Palo Alto Networks' Unit 42, ont compromis le compte npm d'un mainteneur d'Axios, bibliothèque JavaScript téléchargée plus de 300 millions de fois par semaine. En 39 minutes, deux versions malveillantes ont été publiées : axios@1.14.1 à 00h21 UTC, puis axios@0.30.4 à 01h00. Aucune ne contenait directement du code infecté. Toutes deux introduisaient en revanche une dépendance cachée vers plain-crypto-js@4.2.1, un paquet délibérément nommé pour imiter une bibliothèque cryptographique légitime, dont l'unique fonction était de déployer un trojan d'accès distant (RAT) multiplateforme, détecté et signalé par Sonatype quatre minutes après publication, mais trop tard pour les pipelines automatisés qui l'avaient déjà téléchargé.

Un certificat Apple dans le viseur

Le pipeline de signature des applications macOS d'OpenAI, un workflow GitHub Actions, a automatiquement récupéré axios@1.14.1 au moment de sa publication. Ce workflow avait accès aux certificats et matériaux de notarisation utilisés pour signer ChatGPT Desktop, Codex et Atlas auprès d'Apple. Or la menace Axios frappait indifféremment Windows, Linux et macOS, alors que l'enjeu pour OpenAI concernait exclusivement la chaîne de signature macOS.

Sur macOS, Gatekeeper valide chaque application via ces certificats. Avec un certificat OpenAI potentiellement exposé, un attaquant aurait pu distribuer une fausse application signée, reconnue comme authentique par le système, sans blocage. OpenAI a confirmé dans son billet officiel n'avoir trouvé aucune preuve d'accès aux données utilisateurs, de compromission de systèmes ou de modification de logiciels. Pourtant, un certificat exposé sans révocation immédiate représente une surface d'attaque exploitable à tout moment.

OpenAI travaille avec Apple pour bloquer toute nouvelle notarisation via l'ancien certificat, tandis que les nouvelles builds signées avec les certificats remplacés sont déjà disponibles.

En 39 minutes, deux versions malveillantes ont été publiées : axios@1.14.1 à 00h21 UTC, puis axios@0.30.4 à 01h00. Aucune ne contenait directement du code infecté - ©GitHub
En 39 minutes, deux versions malveillantes ont été publiées : axios@1.14.1 à 00h21 UTC, puis axios@0.30.4 à 01h00. Aucune ne contenait directement du code infecté - ©GitHub

Pourquoi le 8 mai en date butoir

Après le 8 mai 2026, les anciennes versions de ChatGPT Desktop, Codex, Atlas et Codex CLI sur Mac ne recevront plus aucune mise à jour et pourraient devenir pleinement non fonctionnelles. Pas besoin de changer son mot de passe : OpenAI a précisé que les identifiants et clés API n'ont pas été touchés. Une mise à jour depuis l'invite intégrée à l'application, ou via les liens officiels d'OpenAI, suffit.

Pour les développeurs ayant installé axios@1.14.1 ou axios@0.30.4 entre le 31 mars et le 1er avril 2026, Sonatype recommande de désinstaller ces versions sans délai, d'auditer les arbres de dépendances, de pivoter toutes les clés d'accès et de reconstruire les environnements concernés depuis un état propre. StepSecurity, Snyk, Wiz et Vercel ont chacun conclu que toute machine ayant exécuté ces paquets devait être traitée comme compromise, avec rotation immédiate de toutes les clés d'accès.

Sur les machines des développeurs touchés, le RAT s'installait en moins de 1,1 seconde après le lancement de npm install, effaçait ensuite ses propres traces et remplaçait son package.json par une version propre, au point qu'un audit post-infection ne montrait rien de suspect.

Source : Cybersecurity News

À découvrir
Meilleur antivirus : le comparatif en avril 2026
Comparatifs services
Foire aux questionsContenu généré par l’IA
Qu’est-ce que le test “Blank Sheet of Paper” et à quoi sert-il pour les titres et textes de liens ?

Le test “Blank Sheet of Paper” consiste à vérifier qu’un titre ou un libellé de lien reste compréhensible et informatif même isolé, sans contexte (comme sur une page de résultats Google, un fil d’actualité ou une liste de liens). L’objectif est d’éviter les formulations vagues (“En savoir plus”, “Cliquez ici”) et les titres trop allusifs qui perdent leur sens hors de la page. Un bon libellé doit décrire clairement le sujet, l’action ou l’information clé, en incluant les termes que l’utilisateur s’attend à lire. Cela améliore l’expérience de navigation, l’accessibilité (notamment pour les lecteurs d’écran) et la capacité des moteurs de recherche à comprendre le contenu ciblé.

Pourquoi un “gatekeeper” (au sens réglementaire) est-il un concept clé dans les dossiers tech en Europe ?

Un “gatekeeper” est une grande plateforme numérique considérée comme un point de passage incontournable entre entreprises et utilisateurs (app stores, moteurs de recherche, réseaux sociaux, messageries, etc.). Dans l’Union européenne, ce statut est formalisé par le Digital Markets Act (DMA), avec des critères liés à la taille, au nombre d’utilisateurs et à la position de marché. Être qualifié de gatekeeper implique des obligations spécifiques, par exemple limiter l’auto-préférence, faciliter l’interopérabilité ou assouplir certaines contraintes imposées aux développeurs. Le concept sert à comprendre pourquoi certaines entreprises sont soumises à des règles plus strictes que d’autres et comment cela peut modifier des écosystèmes fermés. Il explique aussi pourquoi des changements techniques (API, accès à des fonctions système, modalités de distribution) peuvent devenir des sujets réglementaires.

Qu’implique l’ouverture d’une plateforme via des API et l’interopérabilité, concrètement ?

Une API (Application Programming Interface) est une interface technique qui permet à des logiciels tiers d’accéder à des fonctions ou des données de façon contrôlée. L’interopérabilité désigne la capacité de systèmes différents à fonctionner ensemble, par exemple en échangeant des messages, en synchronisant des contacts ou en transférant des données sans friction. En pratique, cela suppose des spécifications stables, une authentification solide, des limites de débit (rate limiting) et une gestion fine des droits d’accès pour éviter les abus. Côté utilisateur, l’enjeu se traduit souvent par plus de choix (services alternatifs) et moins d’enfermement, mais avec des compromis possibles sur la simplicité ou l’uniformité de l’expérience. Côté sécurité, exposer davantage d’interfaces nécessite des audits, une politique de mises à jour et des mécanismes anti-fraude plus robustes.