Téma la taille du RAT !

Une nouvelle attaque sur la supply chain, avec un projet (Axios) téléchargé plus de 100 millions de fois par semaine. Le pirate avait bien préparé son coup avec un effacement automatique des traces et des attaques prêtes pour Windows, macOS et Linux afin de récupérer des secrets et autres données sensibles sur les machines infectées.

Axios est, selon sa propre définition, un client HTTP qui « propose une bibliothèque facile à utiliser et à étendre, le tout dans un tout petit package ». L’installation est des plus simple, avec npm install axios par exemple.

« Aucune ligne de code malveillant à l’intérieur même » d’Axios

La bibliothèque JavaScript est extrêmement populaire, avec plus de 100 000 étoiles et 11 000 forks sur GitHub, et on la retrouve dans de nombreux projets. Axios est téléchargé plus de 100 millions de fois par semaine sur npm.

Problème, le compte d’un des développeurs a été piraté et des versions vérolées d’Axios ont été mises en ligne, les 1.14.1 et 0.30.4 pour être précis, comme l’explique sur X Feross Aboukhadijeh, CEO et fondateur de la plateforme de cybersécurité Socket.dev.

Un billet de blog a aussi été publié, expliquant que cette attaque permet au pirate « d’exécuter des commandes arbitraires, d’exfiltrer les données système et de persister sur les machines infectées ». Le danger est donc bien réel, avec des conséquences potentiellement graves.

StepSecurity, une autre société de cybersécurité, détaille le fonctionnement de l’attaque : « Il n’y a aucune ligne de code malveillant à l’intérieur même de la bibliothèque Axios, et c’est précisément ce qui rend cette attaque si dangereuse. Les deux versions empoisonnées injectent une fausse dépendance, plain-crypto-js version 4.2.1, un paquet qui n’est jamais importé dans le code source Axios, dont le seul but est d’exécuter un script post-installation qui déploie un cheval de Troie d’accès à distance [ou RAT, ndlr] multiplateforme ».

L’attaquant s’était bien préparé avec des charges utiles pour Windows, macOS et Linux, adaptées à chaque système pour être la plus discrète possible.

Plain-crypto-js 4.2.1 et c’est le drame

Pire encore, une fois installé, le logiciel malveillant fait tout pour supprimer ses traces. Il modifie sa version pour passer en plain-crypto-js 4.2.0 (publiée juste avant la 4.2.1 par le pirate, mais sans charge malveillante pour s’acheter une bonne conduite). Ainsi, un simple npm list après une infection indiquera plain-crypto-js 4.2.0 alors que la 4.2.1 vérolée a été en place et a déjà propagé sa charge malveillante dans le système.

Plain-crypto-js 4.2.0 est une copie de la bibliothèque crypto-js 4.2.0 (15 millions de téléchargements par semaine sur npm), un projet qui existe vraiment et tout ce qu’il y a de plus légitime. 18 heures après la mise en ligne de la version 4.2.0 de plain-crypto-js, la version 4.2.1 est mise à jour avec la charge malveillante. Avec cette « astuce », plain-crypto-js n’est plus un « nouveau » paquet sorti de nulle part, il a déjà un historique… certes fabriqué de toutes pièces pour paraitre légitime, mais un historique quand même.

La seule trace de son passage semble être la présence d’un répertoire node_modules/plain-crypto-js (une dépendance qui n’a jamais été ajoutée, officiellement, à Axios). Avec la commande find ~ -path "*/node_modules/plain-crypto-js" 2 >/dev/null vous pouvez faire une recherche automatique. Le serveur de commande et contrôle (C2) utilisé par les pirates est sfrclak[.]com:8000.

Un seul compte piraté et Axios embarque une charge malveillante

Pour arriver à leur fin, les attaquants ont piraté le compte du principal mainteneur du projet, Jason Saayman, et son adresse e-mail a été modifiée. Ils ont ajouté la dépendance vérolée à Axios, qui est passé en 1.14.1 pour l’occasion. 39 minutes plus tard, c’était au tour de la version 0.30.4 d’être mise en ligne avec la même modification, histoire de maximiser la surface d’attaque en ciblant deux branches.

Les deux versions sont publiées sur npm directement avec le compte « officiel » (mais piraté) de Jason Saayman. Elles sont donc validées via un token npm classique, sans avoir à passer par la vérification GitHub. Les deux ne sont d’ailleurs pas apparues sur la plateforme de code de Microsoft.

La charge est restée moins de 3 h en ligne

npm a rapidement retiré les deux versions pour revenir aux précédentes (1.14.0 et 0.30.3). La mouture 1.14.1 « était en ligne depuis environ 2 heures et 53 minutes, la 0.30.4 depuis environ 2 heures et 15 minutes », explique StepSecurity. Plain-crypto-js a également été supprimé. Sur npm, il est désormais indiqué que « ce paquet contenait un code malveillant et a été retiré du registre par l’équipe de sécurité de npm ». La page indique 108 téléchargements pour plain-crypto-js.

Socket.dev a trouvé la trace de plain-crypto-js dans les dépendances de deux autres projets : shadanai/openclaw et qqbrowser/openclaw-qbot. Socket.dev précise qu’il « est probable que ces deux paquets ont été ajoutés et publiés alors qu’Axios 1.14.1 était la version « latest », récupérant la dépendance malveillante de manière transitive plutôt que via une injection délibérée ».

« Une seule dépendance compromise peut se propager en cascade »

Autre conséquence, pour l’entreprise : « Cela rappelle que, à mesure que les outils d’IA et les pipelines de build automatisés accélèrent le rythme de publication des paquets, une seule dépendance compromise peut se propager en cascade à travers l’écosystème en quelques heures ».

Pensez à vérifier ce qu’il en est sur vos machines ! Avec l’IA générative et la génération automatique de code, vous pouvez très bien vous retrouver avec Axios installé sans même le soupçonner. Bien évidemment, il en est de même pour ceux qui utilisent Axios de manière consciente.

Pour Amit Geynis, responsable Malware Research chez JFrog (société spécialisée dans la gestion de la supply chain), « la compromission d’Axios rappelle que les attaques complexes et multi-plateformes de la chaîne d’approvisionnement se multiplient. La menace est à la fois réelle et systémique : l’installation d’un package s’accompagne de l’intégration de nombreuses dépendances associées, que vous ne contrôlez pas mais auxquelles vous devez pourtant accorder votre confiance ».

Cette histoire n’est pas sans rappeler la récente attaque contre Trivy puis LiteLLM, mais sans avoir de lien a priori selon plusieurs experts. Ces attaques rappellent une fois de plus (s’il en était besoin) le risque de la supply chain : les pirates n’attaquent pas directement des infrastructures mais vérolent des briques (open source) pour pénétrer des systèmes, récupérer des secrets et mots de passe, installer des logiciels, etc.

• Trivy, LiteLLM : la folle histoire d’une cyberattaque qui se propage à toute vitesse

Free chat dans 135 pays

Un nouveau forfait Free Max à 29,99 euros par mois permet de profiter d’un accès à Internet illimité dans pas moins de 135 pays. Il propose aussi des appels vers les mobiles en Europe et reprend ensuite les options du forfaits Free 5G+ à 19,99 euros par mois.

Free tenait ce matin une conférence de presse pour annoncer un nouveau forfait : Max. Il vient se placer au-dessus des forfaits à 2 euros et Free à 19,99 euros (hors promotions liées à des avantages Freebox). Il est proposé à 29,99 euros par mois et, comme les autres, il est sans engagement. Les anciens abonnés Free 2 € ou 5G+ peuvent évidemment migrer vers la nouvelle offre.

Internet mobile illimité en France et « depuis plus de 135 destinations »

Free Max propose de la 3G, 4G, 5G et 5G+ en illimité en France métropolitaine. 4G et 5G étaient déjà illimitées avec le forfait Free 5G+, mais pour les abonnés Freebox seulement (350 Go pour les autres), mais la 3G était limitée à 350 Go (3 Go seulement avec un smartphone 3G seulement). Cette distinction saute… mais rappelons que les réseaux 3G sont en fin de vie et que Free a éteint le sien fin 2025 et qu’il ne passe désormais que par Orange pour la 3G avec un débit limité à 384 kb/s.

• Free Mobile abandonne officiellement sa 3G

Par contre il est aussi question d’illimité à l’étranger « en 5G ou 4G » dans plus de 135 destinations, dont l’Europe, les DOM, les États-Unis, le Canada, le Maroc, l’Algérie, la Tunisie, la Chine, le Japon, la Thaïlande, le Brésil… Le forfait Free 5G+ ne propose, pour rappel, « que » 35 Go depuis 117 destinations. Les nouvelles destinations ne sont (pour le moment ?) pas répercutées sur le forfait Free 5G+.

Appels illimités en France, mais aussi vers les mobiles en Europe

Comme avec le forfait Free 5G+, les appels vers les mobiles et fixes de France, mobiles aux États-Unis, au Canada, en Alaska, à Hawaï, en Chine et dans les DOM, ainsi que vers les fixes de 100 destinations, sont illimités. Nouveauté de Free Max, c’est aussi le cas des appels vers les mobiles d’Europe, de la Suisse et d’Andorre.

Sont également inclus, comme avec le forfait Free 5G+, l’option eSIM watch pour une montre connectée, le service VPN mVPN et l’appli Free TV+. L’abonnement est à 29,99 euros par mois, sans engagement. La carte SIM est facturée 10 euros.

19,99 euros par mois avec Avantages Free Family

Le forfait est compatible avec Avantages Free Family : « pour les abonnés Freebox et Box 5G, réduction de 10 €/mois sur le Forfait Free Max (soit 19,99 €/mois), dans la limite de quatre forfaits ». Free ajoute : le « nombre de réductions avantages abonné Freebox ou Box 5G et Free Family sur le Forfait Free 5G+ et Free Max [est] valable dans la limite de quatre forfaits ».

Il y a quelques jours, l’opérateur s’est d’ailleurs engagé sur ses tarifs des deux forfaits qui sont « bloqués jusqu’en 2027 ». Seule la Série Free promotionnelle n’est pas concernée. Rien n’est pour le moment précisé pour Max.

Voici enfin la liste complète des destinations comprises dans l’Internet mobile illimité, selon la brochure tarifaire du 31 mars 2026 : Açores (Les), Afrique du Sud, Aland (Iles), Alaska, Algérie, Allemagne, Angleterre, Argentine, Arménie, Australie, Autriche, Azerbaïdjan, Baléares (Les), Bangladesh, Bahreïn, Belgique, Biélorussie, Bolivie, Brésil, Bulgarie, Canada, Canaries (Les), Chatham (Ile), Chine, Chypre, Chypre du Nord, Colombie, Comores, Corée du Sud, Corfou (Ile), Costa Rica, Crète (Ile), Croatie, Cyclades (Les), Danemark, Écosse, Égypte, Émirats arabes unis, Équateur, Espagne, Estonie, États-Unis, Féroé (Iles), Fidji, Finlande, Géorgie, Gibraltar, Grèce, Guadeloupe, Guatemala, Guernesey, Guyane Française, Hawaï, Honduras, Hong-Kong, Hongrie, Île de Man, Îles Vierges américaines, Inde, Indonésie, Irlande, Irlande du Nord, Islande, Israël, Italie, Japon, Jersey, Kazakhstan, Kiribati, Koweït, Laos, Lettonie, Liechtenstein, Lituanie, Luxembourg, Macao, Macédoine, Madagascar, Madère, Malaisie, Mali, Malte, Maroc, Martinique, Maurice (Ile), Mayotte, Mexique, Moldavie, Monaco, Monténégro, Nicaragua, Norvège, Nouvelle-Zélande, Oman, Ouzbékistan, Pakistan, Palaos, Panama, Papouasie-Nouvelle-Guinée, Paraguay, Pays de Galles, Pays-Bas, Pologne, Porto Rico, Portugal, République Tchèque, Réunion (Ile de La), Rhodes (Ile), Roumanie, Russie, Saint-Barthélemy, Saint-Marin, Saint-Martin (Antilles françaises), Salvador, Samoa, Sardaigne, Sénégal, Serbie, Sicile, Singapour, Slovaquie, Slovénie, Sri Lanka, Suède, Suisse, Tanzanie, Tasmanie, Thaïlande, Tibet, Tunisie, Turquie, Ukraine, Uruguay, Vanuatu, Vatican, Vietnam, Wight (Ile de), Zanzibar (Ile).

La 2G c’est comme Capri

C’est le jour J : Orange commence à éteindre sa 2G en France métropolitaine. Un changement majeur qui va se dérouler sur toute l’année chez tous les opérateurs. L’Arcep fait les comptes : il reste encore 2,41 millions de SIM en circulation, qui représentent moins de 1 % du trafic.

Adieu la 2G Orange sur le « BAB »

C’est aujourd’hui, mardi 31 mars 2026, qu’Orange commence à éteindre sa 2G dans une zone très limitée pour le moment : « dans l’unité urbaine de Biarritz, Anglet, Bayonne (Côte basque 64) », soit une trentaine de communes selon l’Insee. Le 12 mai 2026, ce sera au tour du reste du département des Pyrénées-Atlantiques (64) et de celui des Landes (40).

En conséquence, « tous les téléphones mobiles limités à la 2G ne pourront plus accéder au réseau mobile Orange dans la zone concernée à partir du 31 mars 2026. Tous les équipements (IoT) utilisant exclusivement la 2G (alarmes, ascenseurs connectés, équipements industriels, solution de télémétrie, …) devront être remplacés ou mis à niveau pour rester opérationnels ».

En juin, Orange passera la seconde avec l’Ariège (09), la Haute-Garonne (31), le Gers (32), le Lot (46), le Lot-et-Garonne (47), les Hautes-Pyrénées (65) et le Tarn-et-Garonne (82). À partir de fin septembre, « la 2G sera définitivement arrêtée dans le reste de la France métropolitaine ». À la fin de l’année 2026, « la technologie 2G devrait donc avoir totalement disparu de l’ensemble du réseau mobile d’Orange en France métropolitaine ».

• 2G, 3G, cuivre (xDSL) : comment Orange va tirer un trait sur le passé

Techniquement, la 2G a déjà été arrêtée par Orange dans une zone en France : fin 2025, à la Réunion. Les autres territoires ultramarins seront aussi coupés progressivement cette année. La prochaine grosse échéance sera pour fin 2028 avec l’arrêt de la 3G, aussi bien en France métropolitaine que dans les outre-mer.

Bouygues Telecom et SFR aussi arrêteront la 2G d’ici à la fin de l’année. Chez Free Mobile, cela fait trois ans que la 2G est éteinte après une mise en service pendant… cinq mois seulement. Pour la 3G, SFR vise aussi fin 2028, tandis que Bouygues Telecom joue les prolongations jusqu’à fin 2029. Chez Free Mobile, la 3G est déjà éteinte depuis fin 2025, les clients passent forcément en itinérance chez Orange pour la 2G et la 3G.

• Free Mobile abandonne officiellement sa 3G
• Cinq mois après avoir mis en service sa 2G, Free Mobile coupe l’ensemble de ses sites

Encore 2,41 millions de cartes SIM 2G seulement en circulation

L’Arcep profite de cette journée symbolique pour mettre à jour son observatoire trimestriel des cartes SIM utilisées dans les terminaux compatibles uniquement avec la 2G et la 3G.

Pour des usages voix, SMS et Internet mobile, il reste encore 2,4 millions de cartes SIM 2G/3G (3 % du parc) dans les smartphones des utilisateurs, dont 1,42 million en 2G seulement. « Entre fin septembre 2025 et fin décembre 2025, une baisse de 9,5 % est constatée sur le parc des terminaux compatibles avec la 2G uniquement », note l’Arcep.

Pour les services Machine to Machine (M-to-M), il reste 2,82 millions de cartes SIM 2G/3G, dont 0,99 million en 2G seulement. Cette fois-ci, la baisse sur trois mois est de 9,2 %, quasi stable par rapport au précédent relevé.

Quoi qu’il en soit, cela fait un total de 2,41 millions de cartes SIM 2G (clients classiques et M-to-M). C’est moins que fin juin 2025 où il était question de 2,85 millions de cartes SIM et de 2,66 millions fin septembre 2025. Si on prend en compte les cartes 2G/3G, on arrive à 5,22 millions de SIM encore dans des terminaux fin 2025. Elles étaient 5,89 millions fin juin 2025.

Pour l’Arcep, « la décroissance du parc des cartes SIM « 2G » est appelée à s’intensifier davantage à mesure que se rapproche l’extinction complète des réseaux 2G ».

Moins de 1 % du trafic passe en 2G/3G

Dans le même temps, le régulateur des télécoms publie un rapport sur l’impact de l’extinction des technologies 2G et 3G sur la couverture des réseaux mobiles : « Aujourd’hui la part du trafic en 2G/3G est estimée à moins de 1 % selon les experts du Comité et la majorité du trafic voix passe par la 4G […] Au regard de ces éléments, il n’apparait pas que l’arrêt des réseaux 2G puis 3G puisse se traduire par des variations substantielles du niveau de couverture du territoire par les réseaux mobiles ».

De plus, le comité d’experts de l’Arcep « estime que les opérateurs ont les moyens de gérer l’extinction de la 2G puis de la 3G sans une régression de la couverture mobile ».

L’Arcep fait aussi le point sur la situation chez nos voisins. En Europe, « 9 pays n’ont pas relevé d’impact sur la couverture des services voix à la suite de l’extinction des réseaux 2G/3G et leur « refarming » de leur spectre en 4G/5G ». Dans un seul pays, « l’impact de l’arrêt de la 3G sur les services voix a été adressé par des changements de terminaux dans les régions rurales concernées et la souscription d’abonnements en 4G pour bénéficier de la VoLTE ».

99,8 % des sites d’émission 2G et 3G sont équipés de 4G

L’Arcep enfin a mis à jour sa foire aux questions sur la fermeture de la 2G et de la 3G. Elle explique notamment que, du côté des réseaux mobiles, « aujourd’hui, plus de 99,8 % des sites d’émission 2G et 3G sont équipés de 4G ». Le régulateur rappelle que les quatre principaux opérateurs français « participent à la collecte, au recyclage et au reconditionnement des téléphones mobiles, en mettant notamment en place des offres de reprise avantageuses pour les consommateurs ».

Quoi qu’il en soit, la fin de la 2G n’est pas sans soulever des questions dans certains secteurs, notamment la santé connectée, les alarmes, les voitures, les ascenseurs… Pour ce dernier cas, le gouvernement a publié un décret afin de « garantir la sécurité des ascenseurs ».

• Fin de la 2G, 3G et xDSL : un décret pour « garantir la sécurité des ascenseurs »
• Santé, ascenseurs, alarmes, voitures… pas simple d’éteindre la 2G et la 3G
• Fin des réseaux 2G et 3G : la tension monte entre opérateurs et entreprises utilisatrices
• Deux ans d’évolution des sites 2G et 3G, bientôt la fin !