Voici une information qui pourrait bien avoir un impact durable sur le secteur.
Notre réaction face à l’attaque de la chaîne d’approvisionnement npm visant TanStack
Nous avons récemment identifié une faille de sécurité touchant une bibliothèque open source couramment utilisée, TanStack npm, qui s’inscrit dans le cadre d’une attaque plus large connue sous le nom de Mini Shai-Hulud(s’ouvre dans une nouvelle fenêtre). Nous n’avons trouvé aucune preuve indiquant que les informations des utilisateurs d’OpenAI aient été consultées, que nos systèmes de production ou notre propriété intellectuelle aient été compromis, ou que nos logiciels aient été altérés.
En parallèle, nous avons pris des mesures décisives pour protéger les données de nos utilisateurs, nos systèmes et notre propriété intellectuelle. Dans le cadre de notre réponse, nous prenons des mesures pour protéger le processus qui certifie que nos applications macOS sont des applications OpenAI authentiques.
Nous procédons actuellement à la mise à jour de nos certificats de sécurité, ce qui obligera tous les utilisateurs finaux de macOS à mettre à jour leurs applications OpenAI vers les dernières versions. Cette mesure vise à prévenir tout risque, aussi infime soit-il, que quelqu’un tente de diffuser une fausse application donnant l’impression de provenir d’OpenAI. Vous pouvez effectuer la mise à jour en toute sécurité via la mise à jour intégrée à l’application ou en cliquant sur les liens officiels ci-dessous :
De plus, la sécurité et la confidentialité de vos éléments sont notre priorité absolue. Nous nous engageons à faire preuve de transparence et à réagir rapidement en cas de problème. Vous trouverez ci-dessous davantage de détails techniques ainsi qu’une foire aux questions.
Le 11 mai 2026 (UTC), TanStack, une bibliothèque open source très répandue, a été compromise dans le cadre d’une attaque plus large visant la chaîne d’approvisionnement logicielle, connue sous le nom de Mini Shai-Hulud(s’ouvre dans une nouvelle fenêtre).
Deux appareils appartenant à des employés au sein de notre environnement d’entreprise ont été touchés par cette attaque. Dès que nous avons détecté cette activité malveillante, nous avons agi rapidement pour mener une enquête, contenir la situation et prendre les mesures nécessaires pour protéger nos systèmes. Dans le cadre de notre enquête et de notre intervention, nous avons fait appel à une société externe spécialisée dans la criminalistique numérique et la gestion des incidents.
De plus, nous avons constaté une activité correspondant au comportement du logiciel malveillant tel qu’il a été décrit publiquement, notamment des accès non autorisés et des tentatives d’exfiltration visant les identifiants, dans un sous-ensemble restreint de dépôts de code source internes auxquels les deux employés concernés avaient accès. Nous avons confirmé que seules quelques données d’identification avaient été exfiltrées de ces dépôts de code et qu’aucune autre information ni aucun autre code n’avait été compromis.
Une affaire qui méritera assurément d’être suivie de près.
À lire également :
Reportage initial : OpenAI : OpenAI