OpenAI a confirmé avoir été touché par une cyberattaque liée à la compromission de TanStack npm, une bibliothèque open source très utilisée dans l’écosystème JavaScript. L’incident s’inscrit dans une campagne plus large baptisée Mini Shai-Hulud, une attaque de la chaîne d’approvisionnement logicielle visant les dépendances utilisées par les développeurs.
Le 11 mai 2026, TanStack a été compromis et deux appareils appartenant à des employés d’OpenAI ont installé des paquets malveillants. Ces machines disposaient d’un accès à l’environnement de l’entreprise, ce qui a permis aux attaquants d’observer et d’exfiltrer un nombre limité d’informations présentes dans certains dépôts internes.
OpenAI affirme toutefois n’avoir trouvé aucune preuve d’accès aux données utilisateurs, à ses systèmes de production, à ses modèles d’intelligence artificielle ou à sa propriété intellectuelle. L’entreprise indique également qu’aucune modification non autorisée de ses logiciels n’a été détectée.
Une attaque de supply chain via TanStack npm
L’incident repose sur un scénario désormais redouté par toutes les entreprises technologiques : la compromission d’une dépendance open source utilisée dans les environnements de développement.
Au lieu d’attaquer directement OpenAI, les pirates ont ciblé TanStack, une bibliothèque populaire intégrée à de nombreux projets web. En piégeant une dépendance utilisée par les développeurs, les attaquants peuvent atteindre indirectement les entreprises qui installent ou mettent à jour ces paquets.
Ce type d’attaque est particulièrement dangereux car il exploite la confiance accordée aux outils de développement. Une simple installation ou mise à jour peut suffire à introduire un malware dans une machine de travail, avec un accès potentiel aux dépôts de code, aux clés, aux jetons d’authentification ou aux outils internes.
Des dépôts internes consultés et des identifiants exfiltrés
Après analyse, OpenAI indique avoir observé une activité cohérente avec le comportement connu du malware Mini Shai-Hulud : accès non autorisé, recherche d’identifiants et tentative d’exfiltration depuis des dépôts de code source internes.
Les dépôts concernés étaient accessibles aux deux employés dont les appareils avaient été infectés. L’entreprise précise que seuls des éléments d’authentification limités auraient été exfiltrés, sans impact constaté sur le code, les données clients ou les systèmes de production.
OpenAI indique avoir isolé les systèmes concernés, révoqué les sessions utilisateurs, renouvelé les identifiants exposés et temporairement restreint certains workflows de déploiement afin d’éviter tout mouvement latéral ou réutilisation des accès volés.
Des certificats de signature présents dans les dépôts touchés
L’un des points les plus sensibles concerne la présence de certificats de signature logicielle dans les dépôts impactés. Ces certificats servent à prouver qu’une application vient bien de son éditeur officiel et qu’elle n’a pas été modifiée.
Selon OpenAI, les certificats concernés étaient liés à plusieurs plateformes, dont macOS, Windows, iOS et Android. Par mesure de précaution, l’entreprise a donc décidé de renouveler ces certificats et de republier ses applications avec de nouvelles signatures.
OpenAI assure n’avoir trouvé aucune preuve qu’un logiciel malveillant ait été signé avec ses certificats, ni qu’une version frauduleuse de ses applications ait été distribuée. L’entreprise indique également avoir vérifié ses logiciels publiés afin de confirmer l’absence de modification non autorisée.
Les utilisateurs macOS doivent mettre à jour avant le 12 juin 2026
La conséquence la plus visible concerne les utilisateurs de Mac. OpenAI demande aux utilisateurs macOS de mettre à jour leurs applications avant le 12 juin 2026, date à laquelle les anciens certificats seront pleinement révoqués.
Les applications concernées sont notamment ChatGPT Desktop, Codex App, Codex CLI et Atlas. Après cette date, les anciennes versions signées avec les certificats précédents pourraient ne plus recevoir de mises à jour, ne plus être prises en charge ou ne plus se lancer correctement sur macOS.
OpenAI précise que les utilisateurs Windows et iOS n’ont pas d’action spécifique à effectuer. Les applications seront également resignées sur ces plateformes, mais la mise à jour obligatoire concerne surtout macOS en raison du fonctionnement des protections de signature et de notarisation d’Apple.
Pourquoi OpenAI ne révoque pas immédiatement les certificats ?
OpenAI explique avoir bloqué toute nouvelle notarisation macOS avec les anciens éléments de signature afin d’empêcher leur utilisation pour valider de nouvelles applications frauduleuses.
La révocation complète n’interviendra toutefois que le 12 juin 2026 afin de laisser le temps aux utilisateurs de mettre à jour leurs applications via les mécanismes intégrés. Une révocation immédiate aurait pu bloquer certains téléchargements ou premiers lancements d’applications encore signées avec l’ancien certificat.
L’entreprise indique surveiller tout signe d’abus potentiel et se réserve la possibilité d’accélérer la révocation si une activité malveillante était détectée.
Un incident qui rappelle l’affaire Mistral AI
Cette affaire rappelle les récentes accusations visant Mistral AI, où des dépôts internes et du code source auraient été mis en vente par un acteur malveillant. Dans les deux cas, la cible réelle n’est pas seulement la donnée utilisateur, mais l’environnement de développement, les dépôts privés, les dépendances et les mécanismes de livraison logicielle.
Pour les entreprises d’intelligence artificielle, ces environnements sont particulièrement sensibles. Ils peuvent contenir du code d’inférence, des outils de fine-tuning, des pipelines internes, des configurations cloud, des certificats, des secrets techniques ou des mécanismes de déploiement.
Même lorsque les données clients ne sont pas touchées, une compromission de ce type reste critique car elle peut exposer des accès, fragiliser la chaîne logicielle et ouvrir la voie à des attaques ultérieures plus discrètes.
OpenAI renforce ses contrôles sur les dépendances open source
OpenAI indique avoir accéléré le déploiement de nouvelles protections après plusieurs attaques récentes touchant des bibliothèques et outils de développement populaires.
L’entreprise mentionne notamment le durcissement des secrets utilisés dans sa chaîne CI/CD, l’ajout de règles de sécurité dans les gestionnaires de paquets, comme le contrôle minimumReleaseAge, et le déploiement d’outils permettant de vérifier la provenance des nouveaux paquets installés.
Les deux appareils compromis ne disposaient pas encore de ces nouvelles protections au moment de l’attaque, car le déploiement était encore progressif. OpenAI présente donc cet incident comme un signal supplémentaire de la nécessité de sécuriser l’ensemble de l’écosystème de développement, pas uniquement les infrastructures de production.
Une menace qui dépasse OpenAI
Cette attaque illustre un changement profond du paysage cyber. Les attaquants visent de plus en plus les briques partagées : bibliothèques open source, gestionnaires de paquets, outils de build, pipelines CI/CD et comptes développeurs.
En compromettant une seule dépendance populaire, un groupe malveillant peut toucher simultanément des dizaines ou centaines d’organisations. C’est ce qui rend les attaques de supply chain si difficiles à contenir : elles se propagent via les outils de confiance utilisés quotidiennement par les développeurs.
OpenAI recommande enfin aux utilisateurs de ne jamais installer d’applications via des liens reçus par email, SMS, messagerie, publicité ou site tiers, et de privilégier uniquement les mises à jour intégrées ou les pages officielles de téléchargement.