En seulement une demi-heure, un groupe de chercheurs en cybersécurité a réussi à développer, publier et promouvoir une extension malveillante sur Visual Studio Code, l'éditeur de code le plus populaire au monde avec plus de 15 millions d'utilisateurs mensuels.
30 minutes, c'est le temps d'activité physique au quotidien que recommande le ministère de l'Éducation nationale et de la Jeunesse. Mais pour ces experts en sécurité informatique, c'est celui qui leur a permis de donner des sueurs froides à Microsoft. Ils ont en effet mené une expérience édifiante qui remet en cause la sûreté de Visual Studio Code (VSCode), la célèbre plateforme d'édition de code source éditée par la firme de Redmond. En à peine une demi-heure, ils ont conçu une fausse extension capable de dérober le code source des utilisateurs et de l'expédier vers un serveur pirate.
Publiée sur le marketplace officiel de VSCode, cette app malveillante a rapidement engrangé des milliers d'installations au sein d'entreprises de renom, dont certaines sociétés milliardaires hautement sensibles.
30 octobre 2024 à 11h48
Visual Studio Code, l'éditeur de Microsoft dédié aux développeurs informatiques
Proposé en libre téléchargement, Visual Studio Code permet aux programmeurs de créer et modifier du code source pour différents langages (JavaScript, Python, C++, etc.). Son atout ? Un environnement de développement intégré (IDE) personnalisable grâce à de nombreuses extensions suggérées sur un « marketplace » officiel. Il est également accessible depuis un navigateur, ce qui le rend certes plus light, mais toujours aussi performant, tout en permettant une meilleure collaboration.
Microsoft garantit un cadre sécurisé en vantant des « mécanismes de confiance » pour empêcher les logiciels malveillants d'entrer dans le système, notamment grâce à Workspace Trust, une fonction de sécurité de VS Code qui empêche l'exécution automatique de code potentiellement malveillant.
Lorsqu'un dossier n'est pas approuvé comme digne de confiance, VS Code passe en « mode restreint » limitant les tâches, le débogage, les paramètres de l'espace de travail et les extensions. L'utilisateur peut explicitement faire confiance à des dossiers via l'éditeur Workspace Trust. Des contrôles supplémentaires existent pour les fichiers/dossiers externes et les extensions non compatibles. L'objectif est de donner un contrôle précis à l'utilisateur sur l'exécution de code depuis des sources inconnues.
Mais l'expérience d'un groupe de chercheurs vient gripper les rouages d'un système en apparence bien verrouillé.
Comment les chercheurs ont déjoué les pare-feux pour propager un virus informatique
Usurpant l'identité visuelle, les noms et ressources de l'extension légitime « Dracula Official », le faux logiciel parvient à se faire passer pour un éditeur vérifié et fiable. En quelques clics, il est publié sur la plateforme officielle de Microsoft.
Pour ce faire, les chercheurs ont eu recours à une technique appelée le « typosquatting » (comme ici, chez GitHub) pour rendre leur extension malveillante crédible et tromper les utilisateurs.
Le typosquatting (ou « l'usurpation de noms de domaine ») consiste à créer un nom de domaine ou d'application très similaire à une ressource populaire et légitime, en profitant d'une faute de frappe ou d'une légère variante orthographique. Cette faute de frappe, couramment commise par les utilisateurs lors de leurs saisies de recherche, permet aux hackers de les piéger.
Dans le cas présent, les chercheurs ont repris le nom de l'extension « Dracula Official » très populaire sur Visual Studio Code, avec plus de 6 millions d'installations. Mais au lieu de « Dracula », ils ont nommé leur extension malveillante « Darcula Official », en déplaçant juste une lettre.
Les chercheurs n'ont alors eu aucun mal à promouvoir ce cheval de Troie qui squatte vite la première page des résultats du « marketplace ». L'extension pirate remporte un vif succès, engrangeant des milliers d'installations, dont certaines au sein de puissantes multinationales et d'organismes ultrasensibles.
Ils ont fait part de leur démonstration de force à Microsoft qui, à l'heure où nous écrivons ces lignes, n'a pas pipé mot. Dans l'intervalle, codeurs, développeurs, pro ou amateurs de Visual Studio Code, soyez plus que vigilants lorsque vous effectuez vos recherches sur le marketplace de Microsoft. Une faute de frappe est vite arrivée.
- Gratuité complète pour télécharger cet éditeur de code.
- Un IDE sobre par défaut, mais personnalisable par la suite.
- Le code du logiciel est open source.
Source : MSPowerUser