{"id":550776,"date":"2023-01-09T22:43:32","date_gmt":"2023-01-10T00:43:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-peuvent-abuser-de-visual-studio-marketplace-pour-cibler-les-developpeurs-avec-des-extensions-malveillantes\/"},"modified":"2023-01-09T22:43:34","modified_gmt":"2023-01-10T00:43:34","slug":"les-pirates-peuvent-abuser-de-visual-studio-marketplace-pour-cibler-les-developpeurs-avec-des-extensions-malveillantes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-peuvent-abuser-de-visual-studio-marketplace-pour-cibler-les-developpeurs-avec-des-extensions-malveillantes\/","title":{"rendered":"Les pirates peuvent abuser de Visual Studio Marketplace pour cibler les d\u00e9veloppeurs avec des extensions malveillantes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cha\u00eene d&#8217;approvisionnement \/ CodeSec<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un nouveau vecteur d&#8217;attaque ciblant le march\u00e9 des extensions Visual Studio Code pourrait \u00eatre exploit\u00e9 pour t\u00e9l\u00e9charger des extensions malveillantes se faisant passer pour leurs homologues l\u00e9gitimes dans le but de monter des attaques sur la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>La technique &#8220;pourrait servir de point d&#8217;entr\u00e9e pour une attaque contre de nombreuses organisations&#8221;, a d\u00e9clar\u00e9 Ilay Goldman, chercheur en s\u00e9curit\u00e9 chez Aqua. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/can-you-trust-your-vscode-extensions\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>Extensions VS Code, organis\u00e9es via un <a rel=\"nofollow noopener\" href=\"https:\/\/marketplace.visualstudio.com\/vscode\" target=\"_blank\">march\u00e9<\/a> mis \u00e0 disposition par Microsoft, permettent aux d\u00e9veloppeurs d&#8217;ajouter des langages de programmation, des d\u00e9bogueurs et des outils \u00e0 l&#8217;\u00e9diteur de code source VS Code pour augmenter leurs flux de travail. <\/p>\n<p>&#8220;Toutes les extensions s&#8217;ex\u00e9cutent avec les privil\u00e8ges de l&#8217;utilisateur qui a ouvert le VS Code sans aucune sandbox&#8221;, a d\u00e9clar\u00e9 Goldman, expliquant les risques potentiels li\u00e9s \u00e0 l&#8217;utilisation des extensions VS Code.  &#8220;Cela signifie que l&#8217;extension peut installer n&#8217;importe quel programme sur votre ordinateur, y compris les ransomwares, les essuie-glaces, etc.&#8221;<\/p>\n<p>\u00c0 cette fin, Aqua a constat\u00e9 que non seulement il est possible pour un acteur de la menace d&#8217;usurper l&#8217;identit\u00e9 d&#8217;une extension populaire avec de petites variations de l&#8217;URL, mais le march\u00e9 permet \u00e9galement \u00e0 l&#8217;adversaire d&#8217;utiliser le m\u00eame nom et les m\u00eames d\u00e9tails sur l&#8217;\u00e9diteur de l&#8217;extension, y compris les informations sur le r\u00e9f\u00e9rentiel du projet.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673311412_312_Les-pirates-peuvent-abuser-de-Visual-Studio-Marketplace-pour-cibler.png\" alt=\"\" border=\"0\" data-original-height=\"526\" data-original-width=\"728\"\/><\/div>\n<p>Bien que la m\u00e9thode ne permette pas de r\u00e9pliquer le nombre d&#8217;installations et le nombre d&#8217;\u00e9toiles, le fait qu&#8217;il n&#8217;y ait aucune restriction sur les autres caract\u00e9ristiques d&#8217;identification signifie qu&#8217;elle pourrait \u00eatre utilis\u00e9e pour tromper les d\u00e9veloppeurs.<\/p>\n<p>La recherche a \u00e9galement d\u00e9couvert que le badge de v\u00e9rification attribu\u00e9 aux auteurs pouvait \u00eatre trivialement contourn\u00e9 car la coche prouve uniquement que l&#8217;\u00e9diteur de l&#8217;extension est le v\u00e9ritable propri\u00e9taire d&#8217;un domaine.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673311412_420_Les-pirates-peuvent-abuser-de-Visual-Studio-Marketplace-pour-cibler.png\" alt=\"\" border=\"0\" data-original-height=\"393\" data-original-width=\"728\"\/><\/div>\n<p>En d&#8217;autres termes, un acteur malveillant pourrait acheter n&#8217;importe quel domaine, l&#8217;enregistrer pour obtenir une coche v\u00e9rifi\u00e9e, et finalement t\u00e9l\u00e9charger une extension cheval de Troie portant le m\u00eame nom que celui d&#8217;une extension l\u00e9gitime sur le march\u00e9.<\/p>\n<p>Une extension de preuve de concept (PoC) se faisant passer pour le <a rel=\"nofollow noopener\" href=\"https:\/\/marketplace.visualstudio.com\/items?itemName=esbenp.prettier-vscode\" target=\"_blank\">Plus jolie<\/a> L&#8217;utilitaire de formatage de code a accumul\u00e9 plus de 1 000 installations en 48 heures par des d\u00e9veloppeurs du monde entier, a d\u00e9clar\u00e9 Aqua.  C&#8217;est depuis <a rel=\"nofollow noopener\" href=\"https:\/\/marketplace.visualstudio.com\/items?itemName=espenp.pretier-vscode\" target=\"_blank\">d\u00e9mont\u00e9<\/a>.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que des inqui\u00e9tudes sont soulev\u00e9es concernant les menaces de la cha\u00eene d&#8217;approvisionnement logicielle sur le march\u00e9 des extensions de code VS.<\/p>\n<p>En mai 2021, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Snyk a d\u00e9couvert un certain nombre de failles de s\u00e9curit\u00e9 dans les extensions populaires de VS Code avec des millions de t\u00e9l\u00e9chargements qui auraient pu \u00eatre exploit\u00e9s par des acteurs malveillants pour compromettre les environnements de d\u00e9veloppement.<\/p>\n<p>&#8220;Les attaquants s&#8217;efforcent constamment d&#8217;\u00e9tendre leur arsenal de techniques leur permettant d&#8217;ex\u00e9cuter du code malveillant \u00e0 l&#8217;int\u00e9rieur du r\u00e9seau des organisations&#8221;, a d\u00e9clar\u00e9 Goldman.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/hackers-distributing-malicious-visual.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 janvier 2023\ue804Ravie LakshmananCha\u00eene d&#8217;approvisionnement \/ CodeSec Un nouveau vecteur d&#8217;attaque ciblant le march\u00e9 des extensions Visual Studio Code pourrait \u00eatre exploit\u00e9 pour t\u00e9l\u00e9charger des extensions malveillantes se faisant passer pour leurs homologues l\u00e9gitimes dans le but de monter des attaques sur la cha\u00eene d&#8217;approvisionnement. La technique &#8220;pourrait servir de point d&#8217;entr\u00e9e pour une attaque [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":550777,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[67849,84,11338,4168,4158,4165,4161,133,11530,3107,4157,4159,4171,4170,65,4167,7306,7531,4160,4163,4162,141,4394,185,4172,4169,1946,4166,137987,4164],"class_list":["post-550776","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abuser","tag-avec","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-developpeurs","tag-extensions","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malveillantes","tag-marketplace","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-peuvent","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-studio","tag-violation-de-donnees","tag-visual","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/550776","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=550776"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/550776\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/550777"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=550776"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=550776"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=550776"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}