Sebastien DuquetteLes attaques contre la chaîne d’approvisionnement sont passées de simples manchettes occasionnelles à des événements presque hebdomadaires. « Mettez à jour tôt, mettez à jour souvent » a longtemps été la règle d’or en maintenance logicielle pour s’assurer que les vulnérabilités connues soient corrigées rapidement. Pourtant, la vague récente d’attaques ciblant des bibliothèques populaires et des outils de sécurité comme Axios, TanStack, Trivy et Bitwarden remet ce conseil en question. Le schéma est presque toujours le même : une version malveillante d’un paquet de confiance est publiée, intégrée à des milliers d’environnements, puis détectée et retirée en quelques heures ou quelques jours. À ce moment-là, le mal est déjà fait pour ceux qui ont mis à jour en premiers.
C’est pourquoi beaucoup préconisent désormais les délais de dépendance (dependency cooldowns), qui consistent à retarder les mises à jour de quelques jours après leur publication — car les paquets compromis sont souvent découverts et retirés en quelques heures ou jours. De nombreux gestionnaires de paquets, comme pip, npm et Cargo, prennent maintenant en charge ces délais.
Intégration des délais dans UniGetUI
Nous avons voulu apporter cette même protection du côté du poste de travail en ajoutant un paramètre Âge minimal des mises à jour dans UniGetUI. Quand une mise à jour est disponible, UniGetUI vérifie la date de publication du paquet et la retient temporairement si la version est plus récente que le seuil configuré. Une fois l’âge minimal atteint, la mise à jour s’affiche comme n’importe quelle autre.
Ce que le paramètre peut faire — et ne peut pas faire
Quelques limitations méritent d’être connues avant d’activer cette fonctionnalité. La date de publication est facultative dans les paquets WinGet, et certains gestionnaires de paquets comme Scoop et vcpkg ne fournissent pas la date de publication dans les métadonnées du paquet. Quand la date de publication n’est pas disponible, UniGetUI se comporte comme si l’Âge minimal des mises à jour était désactivé pour ces paquets. UniGetUI vérifie également uniquement la date de publication du paquet de premier niveau ; les paquets compilés lors de l’installation peuvent intégrer des dépendances plus récentes que l’âge minimal configuré.
Comment l’activer
Pour activer cette configuration, accédez à Préférences de mise à jour des paquets dans les Paramètres et définissez l’Âge minimal des mises à jour selon le nombre de jours qui correspond à votre tolérance au risque. Ce paramètre peut être ajusté par gestionnaire de paquets dans la section Gestionnaires de paquets.
Réflexions finales
Corriger rapidement les vulnérabilités demeure essentiel, mais ce n’est plus la seule variable à optimiser. Un court délai vous coûte très peu en termes d’exposition aux CVE connus, tout en vous offrant une protection non négligeable contre le type d’attaques qui ont dominé 2025 et 2026 jusqu’ici. Avec l’Âge minimal des mises à jour, vous décidez vous-même où se situe cette limite pour votre environnement, gestionnaire de paquets par gestionnaire de paquets, plutôt que d’être contraint à un choix tout-ou-rien entre « toujours la dernière version » et « révision manuelle de tout ». Pour la plupart des équipes, même un délai de deux ou trois jours suffit à laisser à la communauté le temps de détecter une version empoisonnée avant qu’elle n’atteigne vos machines.
Steven Lafortune
Patrick Pilotte
Vincent Lambert