Ah, Visual Studio Code… L’éditeur chéri des développeurs, le doudou numérique de tout bon full-stack moderne, l’arme fatale des codeurs DevOps qui font du Python le matin et du Terraform le soir. Léger, rapide, extensible à souhait. Trop extensible, justement.
Car aujourd’hui, la réalité nous rattrape : les IDEs sont devenus le cheval de Troie ultime. Non pas parce qu’un hacker ukrainien vous a injecté un ransomware via le terminal, non. Parce que vous-même, en toute innocence, installez des extensions « vérifiées »… qui ne le sont pas du tout. Bravo, champion.
🧩 L’arnaque de la « vérification » des extensions
Une équipe de chercheurs vient de révéler que plusieurs IDEs majeurs – Visual Studio Code, Visual Studio, IntelliJ IDEA, Cursor – ont une faille en commun : le processus de vérification des extensions est une mascarade.
Dans le cas de VS Code (coucou Microsoft), une extension peut être estampillée comme « vérifiée » sur la base… d’un nom d’éditeur bidon et de quelques vérifications de surface. Mais derrière cette couche de peinture bleue se cache une liberté quasi-totale de faire exécuter du code arbitraire à l’utilisateur.
Autrement dit :
– Tu veux choper une extension sympa pour formatter ton JSON ?
– Tu tapes « json formatter » et tu vois une extension « trusted publisher » ?
– Tu l’installes en toute confiance ?
🥁 BOOM. T’es owned.
🧠 Les IDEs, nouveaux vecteurs d’infection
Depuis quelques années, la tendance était déjà claire : les attaquants ne s’embêtent plus à contourner les EDRs ou casser le chiffrement. Ils profitent simplement de ce que les devs installent à la chaîne : des paquets NPM, des dépendances Python, et bien sûr, des extensions VS Code.
Mais là, on franchit un cap. Ce ne sont plus de simples outils utiles qui sont détournés. C’est l’environnement de développement lui-même qui devient l’arme.
Imaginez : vous êtes développeur dans une entreprise (ou mieux, dans une ESN qui fait du code pour la Défense). Vous installez une extension pour gérer vos snippets. Derrière, un petit script discret siphonne vos variables d’environnement, votre .env local, vos tokens d’auth… et transmet le tout au serveur d’un groupe APT.
Pas besoin d’exploit de kernel, de phishing ou d’USB infectée. Juste une jolie icône bleue avec un label « Verified by Microsoft ».
🦠 Supply Chain du code : niveau boss final
On avait déjà vu la supply chain logicielle se faire massacrer par SolarWinds, Log4Shell ou XZ Utils. Maintenant, place à la supply chain de l’IDE.
Car oui, ce n’est pas juste VS Code qui est concerné. IntelliJ (coucou JetBrains), Visual Studio (encore Microsoft), Cursor (le VS Code boosté à l’IA)… tous partagent la même faiblesse conceptuelle : ils délèguent la sécurité à un écosystème ouvert, sans sandbox réelle ni vérification de fond.
Une extension malicieuse peut :
- Lancer des processus,
- Accéder au système de fichiers,
- Lire les variables d’environnement,
- Injecter du code dans vos projets,
- Installer d’autres dépendances vérolées.
Et tout ça sans déclencher la moindre alerte antivirus, parce que – roulement de tambour – c’est vous qui l’avez installée. Gentiment. Comme un grand.
🔒 À qui la faute ?
- À Microsoft, qui pense que vérifier un nom d’éditeur suffit à sécuriser une extension ?
- Aux développeurs, qui installent 47 extensions par jour sans lire une seule ligne de code ?
- Aux RSSI, qui laissent des IDEs en roue libre sur les postes de prod ?
- À la hype DevSecOps, qui promet la sécurité dans la CI/CD mais oublie l’environnement de dev ?
Spoiler : tout le monde est coupable.
🛠️ Que faire, ô rage, ô désespoir ?
Quelques pistes de survie, pour les fous qui voudraient continuer à coder :
- Utilisez des versions packagées d’extensions vérifiées en interne. Oui, ça prend du temps. Mais c’est ça ou être le maillon faible.
- Sandboxez vos IDEs via des conteneurs, des VMs, ou des environnements isolés.
- Contrôlez les accès aux clés API, tokens, secrets dans les variables d’environnement.
.envdans.gitignore, merci. - Désactivez les extensions non utilisées. Faites le ménage, comme dans votre frigo.
- Lisez les sources des extensions. Si c’est obfusqué, minifié ou que ça ping une IP russe à l’ouverture du fichier, fuyez.
🎯 En résumé ?
L’IDE est devenu l’arme du crime. Et le développeur, la victime consentante.
Mais tout va bien, tant qu’on peut choisir la couleur du thème et que Copilot te suggère du code inutile. Bienvenue dans l’ère du Secure by Extension. Ou plutôt du « Security Theater by Design ».
🧠 À méditer : si même ton éditeur de texte peut te trahir, que reste-t-il de sacré dans ce monde numérique ?
