Table des matières
Vous utilisez des extensions pour améliorer votre expérience de développement sur Visual Studio Code, mais êtes-vous vraiment conscient de ce qui se passe en arrière-plan ? Imaginez que votre code soit envoyé à des serveurs distants sans que vous le sachiez. Intrigué ? Découvrez comment les extensions ChatGPT – 中文版 et ChatMoss pourraient compromettre votre travail.
Les 3 infos à ne pas manquer
Les extensions ChatGPT – 中文版 et ChatMoss, disponibles sur le Visual Studio Code Marketplace, sont réputées pour fournir des suggestions et des complétions de code. Cependant, Koi Security a révélé que ces outils envoient discrètement le contenu des fichiers ouverts vers des serveurs situés en Chine. L’utilisateur, sans le savoir, voit ses données exfiltrées en arrière-plan.
Les chercheurs ont découvert que dès qu’un fichier est ouvert avec ces extensions actives, son contenu est encodé en Base64 et transmis. Ce processus, réalisé sans alerte ni demande de consentement, met en péril la confidentialité des données des utilisateurs.
ChatGPT – 中文版 et ChatMoss ne se contentent pas de fonctionner comme de simples outils d’édition de code. Les extensions sont capables de transmettre des commandes qui déclenchent l’envoi de plusieurs fichiers d’un même projet. Les données envoyées comprennent non seulement le contenu des fichiers mais aussi leur emplacement, permettant de reconstruire la structure entière d’un projet Visual Studio Code.
Selon BleepingComputer, l’intégration de SDK d’analytique dans ces extensions permet de collecter des informations sur l’activité des utilisateurs, comme les fichiers consultés ou modifiés. Le processus d’exfiltration se poursuit tant que les extensions restent actives, rendant difficile leur détection sans une inspection technique approfondie.
Microsoft a confirmé être au courant des découvertes de Koi Security et mène actuellement une enquête. Malgré cela, les extensions incriminées restent disponibles sur le Visual Studio Code Marketplace, ce qui soulève des questions sur les mécanismes de vérification des extensions par la plateforme.
Pour les développeurs, cette situation met en lumière l’importance de vérifier la sécurité des outils utilisés dans leur environnement de travail. Il est impératif d’être vigilant face aux extensions téléchargées et de se tenir informé des pratiques de sécurité des plateformes.
Visual Studio Code, lancé par Microsoft en 2015, est rapidement devenu l’un des éditeurs de code les plus populaires grâce à sa flexibilité et son large éventail d’extensions. Sa marketplace propose des milliers d’extensions qui enrichissent l’expérience des développeurs, allant des outils de productivité aux intégrations spécifiques de langages.
Avec l’essor de l’intelligence artificielle, les extensions basées sur l’IA, comme ChatGPT – 中文版 et ChatMoss, ont gagné en popularité en offrant des fonctionnalités avancées de complétion de code. Cependant, cette affaire souligne la nécessité pour les développeurs d’être attentifs aux implications en matière de sécurité des outils qu’ils choisissent d’intégrer dans leurs flux de travail.