Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
OpenAI fait pivoter les certificats macOS après la cyberattaque de la chaîne d'approvisionnement Axios
Iris Coleman
15 avr. 2026 02:02
OpenAI répond à la compromission npm Axios liée à la Corée du Nord en faisant pivoter les certificats de signature de code. Les utilisateurs macOS doivent mettre à jour les applications ChatGPT, Codex d’ici le 8 mai.
OpenAI force tous les utilisateurs macOS à mettre à jour leurs applications de bureau après que le processus de signature de l’application de la société ait été exposé à une attaque de la chaîne d’approvisionnement Axios — une compromission attribuée à des acteurs de menace nord-coréens qui ont ciblé la bibliothèque JavaScript populaire le 31 mars 2026.
Le géant de l’IA affirme n’avoir trouvé aucune preuve que les données des utilisateurs aient été consultées ou que son logiciel ait été modifié. Mais la société ne prend pas de risques : elle considère son certificat de signature de code macOS comme compromis et le révoquera entièrement le 8 mai 2026.
Ce qui s’est réellement passé
Lorsque la version compromise 1.14.1 d’Axios a été publiée sur npm le 31 mars, un workflow GitHub Actions utilisé par OpenAI pour la signature des applications macOS a téléchargé et exécuté le code malveillant. Ce workflow avait accès aux certificats utilisés pour signer ChatGPT Desktop, Codex, Codex CLI et Atlas — les identifiants qui indiquent à macOS « oui, ce logiciel provient vraiment d’OpenAI ».
La cause principale ? Une mauvaise configuration. Le workflow d’OpenAI faisait référence à Axios en utilisant une balise flottante plutôt qu’un hash de commit fixé, et il manquait une configuration de « minimumReleaseAge » pour les nouveaux packages. Une vulnérabilité classique de la chaîne d’approvisionnement.
L’analyse interne d’OpenAI suggère que le certificat de signature n’a probablement pas été exfiltré avec succès en raison du timing et de la séquence d’exécution. Mais « probablement » ne suffit pas quand on signe un logiciel qui tourne sur des millions de machines.
L’attaque plus large
La compromission d’Axios ne ciblait pas spécifiquement OpenAI. Des chercheurs en sécurité, y compris l’équipe de renseignement sur les menaces de Google, ont lié l’attaque à un acteur lié à la Corée du Nord — possiblement Sapphire Sleet ou UNC1069. Les attaquants ont compromis le compte d’un mainteneur npm et injecté une dépendance malveillante appelée « plain-crypto-js » qui déployait un RAT multiplateforme capable de reconnaissance, de persistance et d’autodestruction pour éviter la détection.
L’attaque a touché des organisations dans les secteurs des services commerciaux, financiers et technologiques à l’échelle mondiale.
Ce que les utilisateurs doivent faire
Si vous utilisez des applications macOS d’OpenAI, mettez-les à jour dès maintenant. Après le 8 mai, les versions plus anciennes cesseront de fonctionner complètement. Versions minimales requises :
Téléchargez uniquement depuis des sources officielles ou via les mises à jour intégrées. OpenAI met en garde contre l’installation de tout logiciel provenant d’e-mails, de publicités ou de sites tiers — un conseil prudent étant donné qu’un acteur malveillant avec le vieux certificat pourrait théoriquement signer de fausses applications qui semblent légitimes.
Les utilisateurs de Windows, iOS, Android et Linux ne sont pas affectés. Les versions web non plus. Les mots de passe et clés API restent sécurisés.
Pourquoi un délai de 30 jours ?
OpenAI aurait pu révoquer le certificat immédiatement mais a choisi de ne pas le faire. La nouvelle notarisation avec le certificat compromis est déjà bloquée, ce qui signifie que toute application frauduleuse signée avec celui-ci échouerait aux contrôles de sécurité par défaut de macOS, sauf si les utilisateurs les contournent manuellement.
Ce délai donne aux utilisateurs le temps de mettre à jour via les canaux habituels plutôt que de se réveiller avec un logiciel cassé. OpenAI indique surveiller toute utilisation abusive du certificat et accélérera la révocation si une activité malveillante est détectée.
Cet incident souligne comment les attaques sur la chaîne d’approvisionnement continuent de se propager dans l’écosystème logiciel. Un seul paquet npm compromis, et voilà OpenAI qui fait pivoter ses certificats sur toute sa gamme de produits macOS. Pour les développeurs, la leçon est claire : fixez vos dépendances à des commits précis, pas à des balises flottantes.
Source de l’image : Shutterstock