En 30 minutes, ils créent une fausse app, la publient sur le marketplace de Visual Studio Code et prouvent que l'éditeur de code de Microsoft est vulnérable

Mélina LOUPIA
Publié le 10 juin 2024 à 15h52
Des chercheurs ont utilisé la technique du typosquatting pour tromper les paramètres de sécurité de Visual Studio Code - © chainarong06 / Shutterstock
Des chercheurs ont utilisé la technique du typosquatting pour tromper les paramètres de sécurité de Visual Studio Code - © chainarong06 / Shutterstock

En seulement une demi-heure, un groupe de chercheurs en cybersécurité a réussi à développer, publier et promouvoir une extension malveillante sur Visual Studio Code, l'éditeur de code le plus populaire au monde avec plus de 15 millions d'utilisateurs mensuels.

30 minutes, c'est le temps d'activité physique au quotidien que recommande le ministère de l'Éducation nationale et de la Jeunesse. Mais pour ces experts en sécurité informatique, c'est celui qui leur a permis de donner des sueurs froides à Microsoft. Ils ont en effet mené une expérience édifiante qui remet en cause la sûreté de Visual Studio Code (VSCode), la célèbre plateforme d'édition de code source éditée par la firme de Redmond. En à peine une demi-heure, ils ont conçu une fausse extension capable de dérober le code source des utilisateurs et de l'expédier vers un serveur pirate.

Publiée sur le marketplace officiel de VSCode, cette app malveillante a rapidement engrangé des milliers d'installations au sein d'entreprises de renom, dont certaines sociétés milliardaires hautement sensibles.

Meilleur antivirus, le comparatif en juillet 2024
A découvrir
Meilleur antivirus, le comparatif en juillet 2024

01 juillet 2024 à 11h25

Comparatifs services

Visual Studio Code, l'éditeur de Microsoft dédié aux développeurs informatiques

Proposé en libre téléchargement, Visual Studio Code permet aux programmeurs de créer et modifier du code source pour différents langages (JavaScript, Python, C++, etc.). Son atout ? Un environnement de développement intégré (IDE) personnalisable grâce à de nombreuses extensions suggérées sur un « marketplace » officiel. Il est également accessible depuis un navigateur, ce qui le rend certes plus light, mais toujours aussi performant, tout en permettant une meilleure collaboration.

Microsoft garantit un cadre sécurisé en vantant des « mécanismes de confiance » pour empêcher les logiciels malveillants d'entrer dans le système, notamment grâce à Workspace Trust, une fonction de sécurité de VS Code qui empêche l'exécution automatique de code potentiellement malveillant.

Lorsqu'un dossier n'est pas approuvé comme digne de confiance, VS Code passe en « mode restreint » limitant les tâches, le débogage, les paramètres de l'espace de travail et les extensions. L'utilisateur peut explicitement faire confiance à des dossiers via l'éditeur Workspace Trust. Des contrôles supplémentaires existent pour les fichiers/dossiers externes et les extensions non compatibles. L'objectif est de donner un contrôle précis à l'utilisateur sur l'exécution de code depuis des sources inconnues.

Mais l'expérience d'un groupe de chercheurs vient gripper les rouages d'un système en apparence bien verrouillé.

Soyez vigilants lorsque vous saisissez une recherche dans le Marketplace de Microsoft - © UladzimirZuyeu /Shuttertstock

Comment les chercheurs ont déjoué les pare-feux pour propager un virus informatique

Usurpant l'identité visuelle, les noms et ressources de l'extension légitime « Dracula Official », le faux logiciel parvient à se faire passer pour un éditeur vérifié et fiable. En quelques clics, il est publié sur la plateforme officielle de Microsoft.

Pour ce faire, les chercheurs ont eu recours à une technique appelée le « typosquatting » (comme ici, chez GitHub) pour rendre leur extension malveillante crédible et tromper les utilisateurs.

Le typosquatting (ou « l'usurpation de noms de domaine ») consiste à créer un nom de domaine ou d'application très similaire à une ressource populaire et légitime, en profitant d'une faute de frappe ou d'une légère variante orthographique. Cette faute de frappe, couramment commise par les utilisateurs lors de leurs saisies de recherche, permet aux hackers de les piéger.

Dans le cas présent, les chercheurs ont repris le nom de l'extension « Dracula Official » très populaire sur Visual Studio Code, avec plus de 6 millions d'installations. Mais au lieu de « Dracula », ils ont nommé leur extension malveillante « Darcula Official », en déplaçant juste une lettre.

Les chercheurs n'ont alors eu aucun mal à promouvoir ce cheval de Troie qui squatte vite la première page des résultats du « marketplace ». L'extension pirate remporte un vif succès, engrangeant des milliers d'installations, dont certaines au sein de puissantes multinationales et d'organismes ultrasensibles.

Ils ont fait part de leur démonstration de force à Microsoft qui, à l'heure où nous écrivons ces lignes, n'a pas pipé mot. Dans l'intervalle, codeurs, développeurs, pro ou amateurs de Visual Studio Code, soyez plus que vigilants lorsque vous effectuez vos recherches sur le marketplace de Microsoft. Une faute de frappe est vite arrivée.

Visual Studio Code
  • Gratuité complète pour télécharger cet éditeur de code.
  • Un IDE sobre par défaut, mais personnalisable par la suite.
  • Le code du logiciel est open source.
8 / 10
Télécharger

Source : MSPowerUser

Par Mélina LOUPIA
XLinkedIn

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA
Cyber sécurité
Microsoft
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (4)
melcky

en gros, la faille est identique a celle deja presente sur l’integralité de tous les navigateurs du monde ou le typoscating, qui ne date pas d’hier, permet de tromper les utilisateurs non vigilants…

mcbenny

Je serais davantage interesse par la veritable action malveillante de l’extension, c’est a dire sa capacite a « voler » du code sur la machine de l’utilisateur.
Pas que je souhaite le faire, mais le typosquatting n’est que la voie d’acces a l’utilisateur, et comme dit plus haut, c’est une des bases d’acces a la machine des utilisateurs. La veritable faille est dans l’acces au code source manipule par l’utilisateur et son extraction sans accord.

melcky

Justement, l’utilisateur donne son accord, mais a un plugin qu’il pense être légitime alors qu’il ne l’est pas (typosquaté)

Laurent_Marandet

Microsoft et sécurité c’est antinomique.

Sur le même sujet
Ces 3 plugins WordPress populaires sont ciblés par des pirates, mettez-les à jour !
Méfiez-vous d'Antidot, ce nouveau cheval de Troie qui se fait passer pour une mise à jour de Google Play Store
3 commentaires
Si vous utilisez Foxit pour lire vos PDF, attention à cette faille qui permet à un malware d'infecter vos machines
3 commentaires
L'Agent Tesla, ce nouveau malware qui vous demande de confirmer un paiement bancaire pour vous pirater
4 commentaires
Facebook
X