Le chercheur en sécurité Ammar Askar a révélé une vulnérabilité critique dans Visual Studio Code le 2 juin 2026, démontrant que des attaquants pouvaient voler des jetons OAuth GitHub via une attaque à un seul clic apparemment simple. Microsoft a publié une correction provisoire le lendemain, le 3 juin, un délai qui dit tout sur la gravité avec laquelle Redmond a pris cette faille.
La faille cible GitHub.dev, la version basée sur navigateur de VS Code que des millions de développeurs utilisent pour modifier du code directement dans leur navigateur. Un attaquant exploitant cette vulnérabilité pourrait accéder à chaque dépôt lié au jeton compromis de la victime, y compris ceux privés.
Comment l'attaque fonctionne
La vulnérabilité réside dans le système de webview de VS Code, le composant chargé d'afficher le contenu web intégré dans l'éditeur. Les webviews communiquent avec le processus principal de VS Code via un mécanisme de transmission de messages, et c'est là que les choses deviennent intéressantes.
La chaîne d'attaque commence par un lien malveillant pointant vers un espace de travail GitHub.dev. À l'intérieur de cet espace se trouve un notebook Jupyter contenant du JavaScript nocif. Lorsqu'une victime ouvre le lien, le code du notebook s'exécute dans le contexte de la vue web.
À partir de là, le script malveillant simule des événements clavier pour interagir de manière programmatique avec l’interface de VS Code. Il exploite le modèle de confiance que GitHub.dev accorde au contenu de l’espace de travail, trompant ainsi l’éditeur pour qu’il traite le code de l’attaquant comme une entrée utilisateur légitime.
Le script installe ensuite une extension malveillante à partir de l’espace de travail de confiance. Cette extension exfiltre discrètement le jeton OAuth GitHub de la victime sans déclencher d’avertissement visible. La séquence entière ne nécessite que de cliquer sur un seul lien.
Askar a publié un dépôt complet de preuve de concept en même temps que la divulgation, fournissant aux équipes de sécurité les informations nécessaires pour comprendre et tester la vulnérabilité.
La réponse de Microsoft et le modèle plus vaste
La mise à jour de Microsoft du 3 juin a introduit deux mesures de sécurité essentielles. Premièrement, elle a ajouté une invite de confirmation lorsqu'un utilisateur tente d'ouvrir certains types de fichiers dans GitHub.dev, rompant la chaîne un clic fluide qui rendait l'attaque si efficace. Deuxièmement, elle a bloqué les commandes d'extension potentiellement dangereuses sur lesquelles l'exploit s'appuyait pour installer silencieusement du code malveillant.
Le moment de cette divulgation est notable. Quelques semaines plus tôt, le 20 mai 2026, GitHub lui-même a subi une violation de sécurité lorsqu'une extension VS Code empoisonnée a compromis environ 3 800 dépôts internes.
Ce que cela signifie pour les développeurs et les organisations
Pour les développeurs individuels, l'action immédiate est simple : assurez-vous que les sessions GitHub.dev sont à jour avec les derniers correctifs de Microsoft. Renouvelez tous les jetons OAuth qui pourraient avoir été exposés, surtout si vous avez cliqué sur des liens inconnus vers des espaces de travail GitHub.dev au cours des dernières semaines. Vérifiez vos extensions installées et supprimez celles que vous n'utilisez pas activement.
Les équipes de sécurité doivent auditer quels employés ont accès à GitHub.dev et si leurs jetons OAuth disposent de permissions plus larges que nécessaire. Le principe du moindre privilège, qui consiste à accorder aux jetons uniquement l'accès minimum requis, aurait considérablement limité les dommages causés par cette attaque spécifique.