Compromission de la bibliothèque Axios : OpenAI expose son certificat de signature macOS
🔍 Contexte Le 10 avril 2026, OpenAI a publié un post-mortem officiel concernant un incident de sécurité lié à la compromission de la bibliothèque tierce Axios, survenu dans le cadre d’une attaque de la chaîne d’approvisionnement logicielle plus large touchant l’industrie. 📅 Chronologie 31 mars 2026 (UTC) : La bibliothèque Axios (version 1.14.1) est compromise dans le cadre d’une attaque supply chain. Un workflow GitHub Actions utilisé par OpenAI dans le processus de signature des applications macOS télécharge et exécute cette version malveillante d’Axios. Ce workflow avait accès à un certificat de signature de code et au matériel de notarisation utilisés pour signer les applications macOS d’OpenAI. 10 avril 2026 : Publication du post-mortem par OpenAI. 8 mai 2026 : Révocation effective du certificat compromis et fin du support des anciennes versions. 🎯 Applications impactées Les applications macOS suivantes étaient signées avec le certificat potentiellement exposé : ...