Le CLI de Bitwarden visé par une attaque sophistiquée de la « Supply Chain »

Le monde de la tech est en émoi après la découverte d’une compromission touchant Bitwarden CLI, l’interface en ligne de commande du célèbre gestionnaire de mots de passe. Bien que l’incident ait été rapidement maîtrisé, il révèle des failles inquiétantes dans la chaîne de distribution des logiciels modernes.

Que s’est-il passé ?

Le 22 avril 2026, entre 17h57 et 19h30 (heure de l’Est), une version malveillante du package npm @bitwarden/cli(version 2026.4.0) a été publiée sur les serveurs officiels. Cette attaque ne visait pas directement les serveurs de Bitwarden ou le coffre-fort des utilisateurs, mais plutôt les développeurs et les administrateurs système qui utilisent cet outil en ligne de commande.

L’attaque fait partie d’une campagne plus large baptisée « Checkmarx », qui a déjà frappé plusieurs extensions VS Code et images Docker.

Le retour de « Shai-Hulud »

L’aspect le plus fascinant (et inquiétant) pour les experts en sécurité est la présence du nom « Shai-Hulud »dans le code malveillant. Ce terme, emprunté à l’univers de Dune, fait référence à un ver informatique déjà aperçu en 2024 et 2025.

Le fonctionnement est redoutable :

1. Infection via npm : Dès que le développeur installe ou met à jour le package, un script caché s’exécute automatiquement.
2. Vol de données en masse : Le malware fouille la machine à la recherche de clés SSH, de jetons GitHub, d’identifiants AWS, Azure ou Google Cloud, et même de l’historique des commandes.
3. Auto-propagation : Le ver tente ensuite de se propager en créant de nouveaux packages malveillants à partir des comptes GitHub compromis du développeur.

 Les données des utilisateurs sont-elles en danger ?

La réponse courte est non. L’équipe de sécurité de Bitwarden a été très claire : l’architecture de chiffrement « zéro connaissance » (zero-knowledge) du coffre-fort n’a pas été brisée. Vos mots de passe stockés restent cryptés et inaccessibles, même pour Bitwarden.

L’attaque visait spécifiquement l’environnement de travail des développeurs (les secrets CI/CD et les accès cloud) plutôt que les comptes des particuliers.

Comment savoir si vous êtes concerné ?

Si vous n’utilisez Bitwarden que via l’extension de navigateur ou l’application mobile, vous n’êtes pas concerné. Si vous êtes développeur et utilisez le CLI :

• Vérifiez votre version : Si vous avez installé la version 2026.4.0 le 22 avril, considérez votre machine comme compromise.
• Action immédiate : Rétrogradez vers la version 2026.3.0 ou passez à la version corrective publiée immédiatement après l’incident.
• Rotation des secrets : Changez impérativement vos clés API, jetons npm et identifiants cloud si vous avez utilisé la version infectée.

Conclusion 

Cet incident illustre la fragilité de la « Supply Chain » (chaîne d’approvisionnement) logicielle. Même une entreprise aussi rigoureuse que Bitwarden peut voir son canal de distribution temporairement détourné par des attaquants utilisant des jetons d’accès dérobés à des ingénieurs tiers. Pour les professionnels, la recommandation est désormais claire : il ne suffit plus de faire confiance au nom d’un package, il faut surveiller activement les scripts de post-installation et verrouiller les versions utilisées dans les environnements de production.