On a tous fait ça. Cliquer sur « Installer », sans vraiment lire les permissions, parce que l’extension promet de remplir automatiquement un formulaire, de colorer un autre, ou de gagner trois secondes par jour. Chez nous, à la rédaction, c’est pareil pour les extensions de navigateur. Sauf que quand on bosse chez GitHub et qu’on installe une extension vérolée, ce ne sont pas trois onglets qui partent en vrille, ce sont 3 800 dépôts internes qui finissent en vente sur un forum cybercriminel.
L’histoire est officielle depuis ce matin, via un fil GitHub publié sur X. GitHub a détecté l’attaque le 19 mai, isolé le poste de l’employé concerné, retiré la version malveillante de l’extension et lancé la réponse à incident dans la foulée. Le groupe TeamPCP a revendiqué l’attaque sur le forum cybercriminel Breached, propose les données pour 50 000 dollars minimum, et GitHub estime, dans un message publié sur X, que la revendication d’environ 3 800 dépôts est « cohérente dans les grandes lignes » avec son enquête.
Le contexte rend l’affaire encore plus gênante : VS Code est un éditeur Microsoft, GitHub appartient à Microsoft, et la marketplace d’extensions VS Code est modérée par Microsoft.
Le poste du développeur, ce maillon faible que personne ne surveille
Ce qui change avec cette attaque, ce n’est pas la technique, c’est la cible. TeamPCP a déjà compromis Trivy, Checkmarx, Bitwarden CLI et TanStack en 2026, toujours via des outils de développement.
La logique est imparable : pourquoi forcer la porte d’entrée d’une entreprise quand on peut entrer par la machine d’un dev, qui a accès à tout, qui installe des dizaines de plug-ins par mois, et dont quasiment aucune équipe sécurité ne sait précisément ce qui tourne dessus ? Mackenzie Jackson, d’Aikido Security, le résume sans détour dans les colonnes de SecurityWeek : « une seule extension VS Code sur le poste d’un seul employé a suffi pour accéder à 3 800 dépôts internes de GitHub ».
L’extension malveillante utilisée pour piéger le poste de l’employé GitHub n’a, à ce stade, toujours pas été nommée publiquement par GitHub. Tant qu’ils ne lâchent pas son nom, impossible pour les autres entreprises de vérifier si un de leurs développeurs l’avait aussi installée, c’est l’angle mort gênant de la communication de crise actuelle.
GitHub jure qu’aucune donnée client n’a fuité, et que la compromission se limite à ses propres dépôts internes. C’est probablement vrai à date. Sauf que le contenu de ces 3 800 dépôts reste un sac de nœuds : bouts de code propriétaire, scripts internes, et surtout, le pire cauchemar de toute équipe sécurité, des clés API et des identifiants en clair qui traînent dans des fichiers de config oubliés. GitHub a fait tourner ses identifiants critiques le jour même de la détection, en priorisant ceux à plus fort impact.
Pour les utilisateurs de GitHub (lecture publique de dépôts open source, push sur ses propres projets personels), l’impact direct est nul : la plateforme n’a pas été compromise, seul un poste interne l’a été.
La nuance compte, parce qu’on a vu sur les réseaux des appels à « changer son mot de passe GitHub » qui n’ont aucun sens ici. En revanche, si des secrets de production GitHub traînaient dans ces 3 800 dépôts (clés d’infra, tokens d’intégration avec des partenaires), un effet ricochet sur des services tiers reste possible dans les semaines à venir.
Bonne réaction, mais ça ne dit rien sur ce qui aurait pu être déjà exploité avant la détection.
Ce que ça change pour vous, concrètement
Si on ne bosse pas chez GitHub, on pourrait être tenté de hausser les épaules. Mauvaise idée. La majorité des développeurs poussent leur code depuis VS Code, et la marketplace d’extensions est aussi vaste que peu contrôlée. Deux jours avant la révélation publique de l’incident GitHub, l’extension Nx Console, installée 2,2 millions de fois, a été brièvement piégée, et la version malveillante volait silencieusement des credentials dès l’ouverture d’un workspace. La leçon est simple : la confiance accordée à une marketplace officielle ne vaut pas grand-chose.
La consigne du jour pour tout développeurs qui se respecte tient en trois gestes. Auditer ses extensions VS Code installées, virer celles dont l’éditeur n’est pas clairement identifié. Passer ses dépôts au peigne fin pour traquer les clés API et autres secrets en clair, publics ou privés.
Renouveler toute information qui aurait pu être exposée. D’ailleurs, l’incident GitHub s’inscrit dans une série noire : brèche SailPoint via une application tierce, vol de token GitHub chez Grafana le 17 mai, et il y a trois semaines, la faille critique CVE-2026-3854 qui exposait des millions de dépôts à une exécution de code à distance. Le mois est mauvais pour Microsoft, et il n’est pas fini.
Retrouvez tous les articles de Frandroid directement sur Google. Abonnez-vous à notre profil Google pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.