VS Code menacé : une faille GitHub.dev en un clic
Une faille de sécurité dans Microsoft Visual Studio Code (VS Code) permet à des attaquants de voler des jetons GitHub OAuth en un seul clic. Selon le chercheur Ammar Askar, il suffit qu’une victime clique sur un lien malveillant pour exposer ses données, y compris celles des dépôts privés. Cette vulnérabilité cible la fonctionnalité GitHub.dev, qui s’exécute directement dans le navigateur.
Une attaque silencieuse et instantanée
Le mécanisme exploite une mauvaise configuration dans l’intégration de GitHub.dev avec VS Code. Lorsqu’un utilisateur clique sur un lien spécialement conçu, son navigateur envoie une requête à l’API de GitHub, transmettant ainsi son jeton OAuth sans interaction supplémentaire. Ce jeton offre un accès complet aux dépôts, y compris les privés, et permet même des modifications malveillantes.
Des mesures urgentes recommandées
Les utilisateurs de VS Code sont invités à vérifier leurs autorisations GitHub et à révoquer les jetons suspects via les paramètres de sécurité. Microsoft n’a pas encore publié de correctif officiel, mais des solutions temporaires comme la désactivation de GitHub.dev ou l’utilisation d’un navigateur isolé sont suggérées. Cette faille rappelle l’importance de surveiller les permissions accordées aux outils de développement tiers.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.