<p class="wp-block-paragraph">Le 9 juin 2026, GitHub a publié une annonce discrète dans son historique des modifications qui a fait l&rsquo;effet d&rsquo;une petite bombe dans la communauté JavaScript mondiale. </p>



<p class="wp-block-paragraph">npm v12, la prochaine version majeure du plus grand gestionnaire de paquets du monde, va désactiver par défaut les scripts automatiques lors de l&rsquo;installation. Ce changement semble technique et anodin. Il ne l&rsquo;est pas. C&rsquo;est l&rsquo;une des transformations de sécurité les plus significatives dans l&rsquo;histoire de l&rsquo;écosystème JavaScript, une décision qui répond à une décennie d&rsquo;attaques supply chain qui ont coûté des milliards de dollars à des entreprises dans le monde entier.</p>



<p class="wp-block-paragraph">Dans cet article, on explique ce changement de fond en comble. Pas seulement pour les développeurs, mais pour toute personne qui utilise ou finance un produit logiciel construit avec du JavaScript, c&rsquo;est-à-dire potentiellement tout le monde.</p>



<h2 class="wp-block-heading">npm et les scripts d&rsquo;installation</h2>



<p class="wp-block-paragraph">Avant d&rsquo;entrer dans le vif du sujet, posons les bases pour que tout le monde soit à bord. Qu&rsquo;est-ce que npm et qu&rsquo;est-ce qu&rsquo;un script d&rsquo;installation ?</p>



<h3 class="wp-block-heading">npm : le supermarché des briques logicielles</h3>



<p class="wp-block-paragraph">npm (Node Package Manager) est une plateforme en ligne qui héberge des millions de petits morceaux de code JavaScript, appelés packages ou paquets. Quand un développeur construit une application web (un site e-commerce, une application mobile, un outil interne d&rsquo;entreprise) il n&rsquo;écrit pas tout le code depuis zéro. Il installe des packages préexistants qui font des choses précises : envoyer des emails, gérer des images, compresser des vidéos, authentifier des utilisateurs, etc.</p>



<p class="wp-block-paragraph">La commande magique pour tout ça est npm install. Vous tapez ces deux mots dans votre terminal, et npm va sur internet, télécharge tous les packages dont votre projet a besoin, et les installe automatiquement. Des centaines, parfois des milliers de packages, en quelques secondes. C&rsquo;est incroyablement pratique.</p>



<p class="wp-block-paragraph">ð¦ Imaginez que vous construisez une maison. Plutôt que de fabriquer vous-même chaque brique, chaque tuyau et chaque interrupteur, vous les commandez au supermarché du bâtiment. npm, c&rsquo;est ce supermarché mais pour le code JavaScript. Et npm install, c&rsquo;est votre commande de livraison express.</p>



<h3 class="wp-block-heading">Les scripts d&rsquo;installation : du code qui s&rsquo;exécute sans vous demander</h3>



<p class="wp-block-paragraph">Là où ça devient intéressant et problématique, c&rsquo;est avec les scripts d&rsquo;installation. De nombreux packages ont besoin d&rsquo;effectuer des actions pendant leur installation : compiler du code natif, télécharger des fichiers supplémentaires, configurer des variables d&rsquo;environnement, créer des dossiers. Pour ça, npm leur permet d&rsquo;inclure des scripts qui s&rsquo;exécutent automatiquement à différents moments du processus d&rsquo;installation.</p>



<ul class="wp-block-list">
<li>preinstall : s&rsquo;exécute AVANT l&rsquo;installation du package.</li>



<li>install : s&rsquo;exécute PENDANT l&rsquo;installation.</li>



<li>postinstall : s&rsquo;exécute APRÈS l&rsquo;installation, le plus utilisé et le plus abusé</li>
</ul>



<p class="wp-block-paragraph">Ces scripts peuvent faire pratiquement n&rsquo;importe quoi sur votre machine. Écrire des fichiers. Se connecter à internet. Lire vos variables d&rsquo;environnement (qui contiennent souvent des mots de passe et des clés API). Exécuter des commandes système. Jusqu&rsquo;à npm v12, tout ça se passait automatiquement, sans vous demander la permission, dès que vous tapiez npm install.</p>



<p class="wp-block-paragraph">ð¨ Jusqu&rsquo;à présent, installer un package npm revenait à donner les clés de votre appartement à un inconnu en lui disant &lsquo;installez ce truc dans le salon, fais attention&rsquo;. Il pouvait se servir dans le frigo, copier des documents sur la table, ou laisser une porte dérobée.</p>



<h2 class="wp-block-heading">Le problème de sécurité que npm v12 résout enfin</h2>



<p class="wp-block-paragraph">Les scripts d&rsquo;installation automatiques sont le vecteur d&rsquo;attaque le plus utilisé dans les attaques supply chain JavaScript depuis des années. L&rsquo;échelle du problème en 2025 et 2026 est véritablement alarmante.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><td><strong>Statistique</strong></td><td><strong>Valeur</strong></td><td><strong>Source</strong></td></tr></thead><tbody><tr><td>Packages malveillants publiés sur npm en 2025</td><td>~455 000</td><td>Étude sécurité 2026</td></tr><tr><td>Attaque Miasma (juin 2026) : packages Red Hat infectés</td><td>32 puis +57</td><td>Wiz Research, Snyk</td></tr><tr><td>Attaque Phantom Gyp (3 juin 2026) : repos Azure touchés</td><td>73 repositories</td><td>ByteIOTA</td></tr><tr><td>Heure nécessaire pour les 73 repos Azure</td><td>105 secondes</td><td>ByteIOTA</td></tr><tr><td>Coût moyen d&rsquo;une attaque supply chain réussie</td><td>$1,1 million USD</td><td>IBM Security 2025</td></tr></tbody></table></figure>



<p class="wp-block-paragraph">Le raisonnement est simple : si vous pouvez publier un package avec un script postinstall malveillant, et que npm exécute ce script automatiquement sur la machine de tout développeur qui installe votre package, vous avez accès à ses identifiants AWS, ses tokens GitHub, ses clés SSH et potentiellement à tous les systèmes auxquels sa machine a accès.</p>



<p class="wp-block-paragraph">Ce qui est particulièrement pernicieux dans cette attaque, c&rsquo;est sa propagation en cascade. Un package infecté peut, dans son script postinstall, chercher d&rsquo;autres packages que le développeur maintient et y publier des versions infectées à leur tour. Un seul développeur compromis peut infecter des centaines de packages. Les victimes de ces packages infectés contaminent à leur tour d&rsquo;autres projets. C&rsquo;est la définition d&rsquo;un ver informatique et c&rsquo;est exactement ce que faisait Miasma.</p>



<h2 class="wp-block-heading">Le rôle de l&rsquo;attaque Miasma et du Phantom Gyp dans le timing de npm v12</h2>



<p class="wp-block-paragraph">Pourquoi npm v12 arrive-t-il en juillet 2026 et pas avant ? Parce que la pression des événements récents a rendu l&rsquo;inaction politiquement impossible.</p>



<h3 class="wp-block-heading">Miasma : Le ver qui a touché Red Hat en temps réel</h3>



<p class="wp-block-paragraph">Le 1er juin 2026, l&rsquo;attaque Miasma a infecté 32 packages officiels de Red Hat sous le namespace @redhat-cloud-services sur npm. Le malware utilisait précisément les scripts preinstall pour s&rsquo;exécuter et voler des identifiants AWS, tokens GitHub, clés SSH, et accès Kubernetes dès qu&rsquo;un développeur faisait npm install. On a décrit cet incident en détail dans notre <a href="https://www.tech-connect.info/securite/miasma-attaque-supply-chain-npm-red-hat-2026/" data-type="post" data-id="6826">article dédié sur Miasma</a>.</p>



<p class="wp-block-paragraph">Deux jours plus tard, une deuxième vague plus sournoise est arrivée : le Phantom Gyp.</p>



<h3 class="wp-block-heading">Phantom Gyp : L&rsquo;attaque que &#8211;ignore-scripts ne bloquait pas</h3>



<p class="wp-block-paragraph">C&rsquo;est là que ça devient diabolique. <strong>Le Phantom Gyp est une technique qui exploite une faille dans npm lui-même</strong>, pas dans le code d&rsquo;un package malveillant. Voici comment ça fonctionne.</p>



<p class="wp-block-paragraph">npm a une fonctionnalité pour compiler du code natif (C/C++) : si un package contient un fichier appelé binding.gyp, npm déclenche automatiquement un rebuild en C++ via l&rsquo;outil node-gyp. Ce comportement est conçu pour les packages légitimes qui ont besoin de performance native (chiffrement, traitement d&rsquo;images, etc.). Et c&rsquo;est automatique, même si vous utilisez &#8211;ignore-scripts, qui était la protection habituelle contre les scripts malveillants.</p>



<p class="wp-block-paragraph">L&rsquo;attaque Phantom Gyp place simplement un minuscule fichier binding.gyp (157 octets) dans un package compromis. npm voit le fichier, exécute automatiquement node-gyp rebuild, et le code malveillant s&rsquo;exécute. Résultat : le 3 juin 2026, cette technique a compromis 73 dépôts Microsoft Azure en 105 secondes. &#8211;ignore-scripts n&rsquo;a rien vu passer.</p>



<p class="wp-block-paragraph">ð¯ ; C&rsquo;est cette attaque qui a forcé la main de GitHub. Quand &#8211;ignore-scripts, la protection que tout le monde recommandait, ne protège plus, il faut changer l&rsquo;architecture de fond. npm v12 bloque le Phantom Gyp directement.</p>



<h2 class="wp-block-heading">Les 3 changements précis de npm v12</h2>



<p class="wp-block-paragraph">npm v12 introduit trois changements majeurs, tous dans la même direction : passer d&rsquo;un modèle de confiance implicite (tout s&rsquo;exécute par défaut) à un modèle de confiance explicite (rien ne s&rsquo;exécute sauf ce que vous approuvez).</p>



<h3 class="wp-block-heading">Changement #1 : allowScripts passe à off (le plus impactant)</h3>



<p class="wp-block-paragraph">C&rsquo;est le changement principal. À partir de npm v12, npm install ne lancera plus les scripts preinstall, install ou postinstall d&rsquo;aucune dépendance, sauf si vous les avez explicitement autorisés.</p>



<p class="wp-block-paragraph"># Avant npm v12 (comportement actuel) :</p>



<p class="wp-block-paragraph">npm install ; ; # → exécute TOUS les scripts de TOUTES les dépendances</p>



<p class="wp-block-paragraph"># Avec npm v12 (nouveau comportement par défaut) :</p>



<p class="wp-block-paragraph">npm install ; ; # → n&rsquo;exécute AUCUN script, sauf ceux de votre allowlist</p>



<p class="wp-block-paragraph">Pour autoriser un script spécifique, vous avez deux options. Soit la commande interactive :</p>



<pre class="wp-block-code"><code>npm approve-scripts esbuild@0.21.5</code></pre>



<p class="wp-block-paragraph">Soit directement dans votre package.json en ajoutant un champ allowScripts :</p>



<pre class="wp-block-code"><code>{

 "allowScripts": {

 "esbuild@0.21.5": true,

 "sharp@0.33.5": true,

 "node-gyp": true

 }

}</code></pre>



<p class="wp-block-paragraph">â ï¸ Point crucial sur la version utilisée : autoriser esbuild@0.21.5 n&rsquo;autorise PAS esbuild@0.22.0. Chaque mise à jour de version nécessite une nouvelle approbation manuelle. C&rsquo;est intentionnel, un attaquant qui publie une version vérolée d&rsquo;un package ne peut plus se glisser sous la protection de votre allowlist existante.</p>



<h3 class="wp-block-heading">Changement #2 : Git dependencies bloquées par défaut</h3>



<p class="wp-block-paragraph">Vous avez peut-être l&rsquo;habitude d&rsquo;installer des packages directement depuis GitHub, comme ça :</p>



<p class="wp-block-paragraph">npm install github:owner/repo</p>



<p class="wp-block-paragraph">À partir de npm v12, ces dépendances Git sont bloquées par défaut. La raison : un dépôt GitHub peut être compromis (comme l&rsquo;ont montré les attaques via OIDC sur les GitHub Actions), et y installer directement un package bypass toutes les vérifications habituelles du registre npm. Pour les autoriser, il faudra explicitement déclarer allowGit dans votre configuration.</p>



<h3 class="wp-block-heading">Changement #3 : Remote URL dependencies bloquées</h3>



<p class="wp-block-paragraph">De même, les installations directement depuis une URL distante (type npm install https://example.com/package.tgz) seront bloquées par défaut. Même logique : une URL distante peut pointer vers n&rsquo;importe quoi, sans les garanties de provenance et d&rsquo;intégrité du registre npm officiel.</p>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><td><strong>Comportement</strong></td><td><strong>Avant npm v12</strong></td><td><strong>Après npm v12</strong></td><td><strong>Pour l&rsquo;activer</strong></td></tr></thead><tbody><tr><td>Scripts preinstall/install/postinstall</td><td>â Auto</td><td>â Bloqué</td><td>allowScripts: true dans package.json</td></tr><tr><td>node-gyp rebuild automatique</td><td>â Auto</td><td>â Bloqué</td><td>allowScripts: true pour le package</td></tr><tr><td>prepare scripts (git/file deps)</td><td>â Auto</td><td>â Bloqué</td><td>allowScripts dans la config</td></tr><tr><td>Dépendances GitHub (git:)</td><td>â Auto</td><td>â Bloqué</td><td>allowGit: true dans la config</td></tr><tr><td>Dépendances URL distantes</td><td>â Auto</td><td>â Bloqué</td><td>allowRemote: true dans la config</td></tr></tbody></table></figure>



<h2 class="wp-block-heading">Ce qui va concrètement casser dans votre projet</h2>



<p class="wp-block-paragraph">C&rsquo;est la question que tous les développeurs se posent. La réponse honnête : probablement plus de choses que vous ne le pensez, parce que beaucoup de packages utilisent des scripts d&rsquo;installation de façon invisible.</p>



<h3 class="wp-block-heading">Packages qui utilisent des scripts légitimes</h3>



<p class="wp-block-paragraph">De nombreux packages populaires et tout à fait légitimes ont besoin de leurs scripts d&rsquo;installation pour fonctionner correctement. Parmi les plus courants :</p>



<ul class="wp-block-list">
<li>esbuild &#8211; le bundler JavaScript ultra-rapide : son binaire natif est compilé via postinstall.</li>



<li>sharp &#8211; traitement d&rsquo;images : compile des liaisons libvips en C++ au moment de l&rsquo;installation.</li>



<li>canvas &#8211; rendu canvas Node.js : compile des liaisons Cairo.</li>



<li>bcrypt &#8211; hachage de mots de passe sécurisé : compile des liaisons en C.</li>



<li>node-sass / sass &#8211; compilation SCSS vers CSS : compile des liaisons C++.</li>



<li>Prisma &#8211; ORM populaire : génère le client typé en postinstall.</li>



<li>Husky &#8211; git hooks : configure les hooks via prepare.</li>



<li>Tout package avec un fichier binding.gyp déclenche node-gyp automatiquement.</li>
</ul>



<p class="wp-block-paragraph">Ces packages continueront de fonctionner avec npm v12, mais vous devrez les ajouter explicitement à votre allowlist. Ce qu&rsquo;il ne se passera plus, c&rsquo;est que leur script s&rsquo;exécute en silence sans votre accord.</p>



<h3 class="wp-block-heading">Comment détecter maintenant ce qui va casser</h3>



<p class="wp-block-paragraph">La bonne nouvelle : npm 11.16.0 (déjà disponible) intègre tous les changements de v12 en mode avertissement. Ça signifie que vous pouvez tester dès aujourd&rsquo;hui sans attendre juillet.</p>



<p class="wp-block-paragraph"># Mettez à jour npm vers 11.16.0 ou supérieur :</p>



<pre class="wp-block-code"><code>npm install -g npm@latest</code></pre>



<p class="wp-block-paragraph"># Dans votre projet, lancez npm install :</p>



<pre class="wp-block-code"><code>npm install</code></pre>



<p class="wp-block-paragraph"># → npm affichera des avertissements pour chaque script qui sera bloqué en v12</p>



<p class="wp-block-paragraph">Faites ça sur votre projet principal et notez tout ce qui apparaît en avertissement. Chaque avertissements est un script qui cassera quand npm v12 arrivera.</p>



<h2 class="wp-block-heading">Guide de migration : Ce que vous devez faire avant juillet 2026</h2>



<h3 class="wp-block-heading">Étape 1 &#8211; Inventaire : que s&rsquo;exécute-t-il dans mon npm install ?</h3>



<ol class="wp-block-list">
<li>Mettez à jour npm : npm install -g npm@latest</li>



<li>Dans votre projet, lancez : npm install &#8211;foreground-scripts 2>;&;1 | grep warn</li>



<li>Listez tous les packages qui déclenchent des avertissements</li>



<li>Pour chaque package, vérifiez : son script est-il légitime ? Que fait-il exactement ?</li>
</ol>



<h3 class="wp-block-heading">Étape 2 &#8211; Construire votre allowlist (liste autorisée)</h3>



<p class="wp-block-paragraph">Une fois votre inventaire fait, ajoutez les packages légitimes à votre allowlist dans package.json :</p>



<pre class="wp-block-code"><code>{

 "name": "mon-projet",

 "allowScripts": {

 "esbuild@0.25.1": true,

 "sharp@0.33.5": true,

 "prisma@6.0.0": true,

 "husky@9.1.0": true,

 "@prisma/client@6.0.0": true

 }

}</code></pre>



<h3 class="wp-block-heading">Étape 3 &#8211; Approuver interactivement avec npm approve-scripts</h3>



<p class="wp-block-paragraph">Pour une première migration, la commande approve-scripts vous guide de façon interactive :</p>



<pre class="wp-block-code"><code><em>npm approve-scripts --allow-scripts-pending</em></code></pre>



<p class="wp-block-paragraph"># → npm liste chaque script en attente et vous demande : Allow? (y/N)</p>



<p class="wp-block-paragraph"># → Pour chaque package, npm affiche le code du script pour que vous puissiez l&rsquo;inspecter</p>



<h3 class="wp-block-heading">Étape 4 : Mettre à jour votre pipeline CI/CD</h3>



<p class="wp-block-paragraph">Dans votre fichier de pipeline (GitHub Actions, GitLab CI, Jenkins&#8230;), si vous avez des étapes npm install, elles continueront de fonctionner si votre allowlist est bien définie dans package.json. Mais si vous avez des scripts qui s&rsquo;exécutent implicitement sans être dans l&rsquo;allowlist, votre build va casser.</p>



<p class="wp-block-paragraph">â° Échéance : npm v12 est prévu pour juillet 2026. Vous avez environ 2-4 semaines pour auditer et mettre à jour vos projets. </p>



<h2 class="wp-block-heading">Packages les plus touchés : Guide de référence rapide</h2>



<figure class="wp-block-table"><table class="has-fixed-layout"><thead><tr><td><strong>Package</strong></td><td><strong>Usage</strong></td><td><strong>Impact v12</strong></td><td><strong>Action nécessaire</strong></td></tr></thead><tbody><tr><td>esbuild</td><td>Bundler JavaScript rapide</td><td>Binaire natif ne compile plus</td><td>allowScripts: { &lsquo;esbuild@x.x.x&rsquo;: true }</td></tr><tr><td>sharp</td><td>Traitement d&rsquo;images</td><td>Liaisons libvips cassées</td><td>allowScripts: { &lsquo;sharp@x.x.x&rsquo;: true }</td></tr><tr><td>canvas</td><td>Rendu canvas</td><td>Liaisons Cairo cassées</td><td>allowScripts: { &lsquo;canvas@x.x.x&rsquo;: true }</td></tr><tr><td>bcrypt</td><td>Hash mots de passe</td><td>Liaisons C++ cassées</td><td>allowScripts: { &lsquo;bcrypt@x.x.x&rsquo;: true }</td></tr><tr><td>Prisma</td><td>ORM base de données</td><td>postinstall generate cassé</td><td>allowScripts: { &lsquo;@prisma/client&rsquo;: true }</td></tr><tr><td>Husky</td><td>Git hooks pre-commit</td><td>prepare cassé</td><td>allowScripts: { &lsquo;husky@x&rsquo;: true }</td></tr><tr><td>node-sass</td><td>Compilation SCSS</td><td>Liaisons C++ cassées</td><td>allowScripts ou migrer vers sass</td></tr><tr><td>Tout package binding.gyp</td><td>Code natif C/C++</td><td>node-gyp rebuild bloqué</td><td>allowScripts avec le nom exact + version</td></tr></tbody></table></figure>



<h2 class="wp-block-heading">pnpm et Yarn l&rsquo;avaient déjà</h2>



<p class="wp-block-paragraph">Une question revient constamment dans les commentaires des développeurs depuis l&rsquo;annonce : pourquoi npm a-t-il mis si longtemps ? pnpm, l&rsquo;alternative de plus en plus populaire au npm classique, a introduit le blocage des scripts par défaut il y a plus de 18 mois. Yarn 4 a une approche similaire depuis 2023.</p>



<p class="wp-block-paragraph">La réponse est dans la taille de l&rsquo;écosystème. npm héberge plus de 2,5 millions de packages et est utilisé par des centaines de millions de développeurs. Changer le comportement par défaut dans npm, c&rsquo;est risquer de casser des pipelines CI/CD dans des milliers d&rsquo;entreprises simultanément. C&rsquo;est un changement à fort impact potentiel, ce qui explique la prudence historique.</p>



<p class="wp-block-paragraph">Ce qui a changé la donne en 2026, c&rsquo;est la pression accumulée des incidents : Miasma, Phantom Gyp, le bilan de 455 000 packages malveillants en 2025. À un moment, continuer à protéger la commodité au détriment de la sécurité devient intenable surtout quand les alternatives (pnpm, Yarn 4) démontrent que le modèle restrictif est viable.</p>



<p class="wp-block-paragraph">ð¡ ; Si vous cherchez à anticiper ces changements encore plus vite : pnpm (pnpm.io) a déjà ce comportement par défaut depuis 2025. Migrer de npm à pnpm est moins compliqué que ça n&rsquo;y paraît, et vous met déjà en sécurité sans attendre juillet.</p>



<h2 class="wp-block-heading">Ce que npm v12 ne résout PAS</h2>



<p class="wp-block-paragraph">La communauté de sécurité accueille npm v12 positivement. Mais certains experts soulèvent une critique légitime : ces changements sont nécessaires mais insuffisants.</p>



<ul class="wp-block-list">
<li>Le registre npm n&rsquo;analyse toujours pas les packages avant publication : n&rsquo;importe qui peut publier un package malveillant en quelques secondes, sans aucune vérification de contenu.</li>



<li>Les typosquatters (packages avec des noms similaires aux vrais) restent une menace, npm v12 ne les bloque pas.</li>



<li>Les packages déjà installés dans votre node_modules ne sont pas re-vérifiés.</li>



<li>Les scripts dans vos propres package.json (vos scripts à vous, pas les dépendances) restent inchangés.</li>



<li>Un attaquant qui réussit à compromettre le registre npm lui-même (et pas juste un package) peut toujours distribuer du code malveillant.</li>
</ul>



<p class="wp-block-paragraph">La plateforme OpenSource Malware l&rsquo;a bien résumé : npm v12 résout un problème spécifique qui représentait 80% des vecteurs d&rsquo;attaque. C&rsquo;est une victoire majeure. Mais ce n&rsquo;est pas la fin de la supply chain security, c&rsquo;est le début d&rsquo;une nouvelle ère où d&rsquo;autres vecteurs prendront le relais.</p>



<ul class="wp-block-list">
<li>Recommandation complémentaire : activez aussi min-release-age dans npm 11.10.0+ (ne pas installer une version publiée il y a moins de X jours), c&rsquo;est l&rsquo;une des protections les plus efficaces contre les attaques opportunistes.</li>
</ul>

Lundi 1er juin 2026. Il est 10h54 UTC. Dans l'obscurité des dépôts GitHub, quelqu'un vient…
En Afrique subsaharienne, une révolution numérique est en train de se jouer discrètement, loin des…
Le 2 juin 2026, le président Trump a signé un décret qui demande aux entreprises…