Extensions VS Code malveillantes : protégez vos développeurs
Des extensions piégées ont contourné les contrôles de sécurité d'Open VSX. Vos développeurs sont peut-être concernés sans le savoir.
Imaginez qu'un de vos employés télécharge un outil de travail qui semble parfaitement légitime, validé par une plateforme de confiance, et qu'en réalité cet outil espionne silencieusement vos données. C'est exactement ce qui vient de se produire avec VS Code, l'éditeur de code utilisé par la quasi-totalité des développeurs en France. Des extensions malveillantes ont réussi à tromper les vérifications de sécurité d'Open VSX, une place de marché populaire d'extensions pour développeurs. Résultat : des logiciels potentiellement dangereux ont été installés sur des milliers de machines sans que personne ne s'en doute. Si vous avez des développeurs en interne ou des prestataires IT, lisez ce qui suit avant de tourner la page.
VS Code et ses extensions : c'est quoi exactement ?
VS Code, c'est le couteau suisse des développeurs. Cet outil gratuit de Microsoft permet d'écrire du code et se personnalise grâce à des extensions, un peu comme des applications que l'on installe sur un smartphone. Il en existe des dizaines de milliers : certaines améliorent la mise en forme du code, d'autres connectent l'outil à des services cloud, d'autres encore ajoutent des raccourcis intelligents. La plupart sont inoffensives et très utiles. Mais comme sur n'importe quelle boutique d'applications, des acteurs malveillants cherchent à y glisser des programmes piégés. Open VSX est l'une de ces places de marché d'extensions, souvent utilisée comme alternative à la boutique officielle de Microsoft. Elle vient de reconnaître qu'elle n'avait pas détecté plusieurs extensions malveillantes avant qu'elles ne soient téléchargées par des utilisateurs. Ces extensions pouvaient, une fois installées, voler des identifiants, espionner l'activité du développeur ou ouvrir une porte d'entrée vers le réseau de l'entreprise.
Pourquoi vos développeurs sont une cible pour les hackers
On pense souvent que les hackers visent les grandes entreprises ou les banques. En réalité, les PME sont des cibles privilégiées précisément parce qu'elles ont moins de défenses. Et parmi tous vos employés, vos développeurs ou vos prestataires IT représentent un risque particulier : ils ont accès à vos systèmes internes, à vos bases de données, à vos serveurs, parfois même aux données de vos clients. Compromettre leur ordinateur, c'est souvent la porte d'entrée la plus rapide vers le cœur de votre entreprise. Une extension VS Code malveillante installée sur le poste d'un développeur peut, en quelques secondes, récupérer des mots de passe stockés, accéder aux projets en cours, ou envoyer des informations sensibles à un serveur distant. Tout cela sans la moindre alerte visible. Ce n'est pas de la science-fiction : c'est exactement le scénario que la faille Open VSX vient de rendre possible à grande échelle.
Sécuriser VS Code sans freiner votre équipe
La bonne nouvelle, c'est qu'il existe des mesures simples et efficaces qui ne ralentiront pas le travail de vos équipes. La première réflexe à adopter : privilégier la boutique officielle de Microsoft (VS Code Marketplace) plutôt que des sources alternatives comme Open VSX, sauf si votre prestataire a une bonne raison de faire autrement. La boutique officielle dispose de contrôles plus stricts et d'un historique de confiance plus solide. Ensuite, il est utile d'établir une liste d'extensions autorisées, validées en amont par vous ou votre responsable technique. Vos développeurs n'auront pas à se poser de questions, et vous saurez exactement ce qui tourne sur leurs machines. Pensez également à activer les mises à jour automatiques des extensions : une extension malveillante peut apparaître d'un coup dans une version corrompue d'un outil que vos équipes utilisaient depuis des mois. Enfin, si vous faites appel à des prestataires externes, demandez-leur explicitement quelles extensions ils utilisent sur votre réseau. Ce n'est pas une question technique, c'est une question de responsabilité. Un bon prestataire n'aura aucun mal à vous répondre.
Ce que vous pouvez faire dès maintenant
1. Demandez à votre développeur ou prestataire IT de lister toutes les extensions VS Code installées sur les postes de travail qui accèdent à vos systèmes. Cette liste doit exister et être vérifiable. 2. Exigez que les extensions ne soient téléchargées que depuis la boutique officielle Microsoft (marketplace.visualstudio.com), sauf exception justifiée par écrit. 3. Mettez en place une règle simple : toute nouvelle extension doit être approuvée avant installation, même si elle semble anodine. Un formulaire de deux lignes suffit. 4. Vérifiez que les postes de vos développeurs disposent d'un antivirus à jour capable de détecter des comportements suspects, pas seulement des fichiers connus comme dangereux. 5. Intégrez cette question dans vos contrats prestataires : demandez une clause précisant que tout outil tiers installé dans le cadre de leur mission doit être signalé et approuvé. Ces cinq actions ne coûtent rien et peuvent vous éviter une intrusion coûteuse. La sécurité de vos développeurs, c'est la sécurité de toute votre entreprise.