Comment la vulnérabilité Open VSX Scanner a permis à des extensions malveillantes de se déployer

Orphée Grandsable

La faille critique qui aurait pu exposer des millions d’utilisateurs français

En 2025, plus de 22 millions d’extensions VS Code sont téléchargées chaque mois en France, selon le rapport de l’ENISA. Imaginez que l’une d’elles contienne un payload capable de compromettre les postes de travail de vos équipes. Cette menace est bien réelle : une vulnérabilité Open VSX Scanner a récemment permis à des extensions malveillantes d’être publiées sans aucune vérification. Dans cet article, nous décortiquons le mécanisme du pipeline de scan, détaillons la faille « Open Sesame », évaluons les impacts concrets et vous présentons les mesures correctives ainsi que les bonnes pratiques à mettre en œuvre dès aujourd’hui.

Comprendre le fonctionnement du pipeline de scan d’Open VSX

Étapes synchrones et asynchrones du contrôle

Lorsque vous soumettez une extension sur la marketplace Open VSX, le système démarre immédiatement une série de contrôles rapides (vérification du manifeste, recherche de signatures connues, etc.). Si ces contrôles passent, le processus passe à une phase asynchrone où plusieurs jobs de sécurité sont planifiés :

  • Détection de malwares via des signatures et de l’analyse heuristique.
  • Scanning de secrets pour repérer des clés d’API ou certificats exposés.
  • Analyse binaire afin d’identifier du code obfuscé ou des dépendances suspectes.

Ces jobs s’exécutent en parallèle, et chaque résultat est rapporté à un service central qui détermine le statut final de l’extension.

Gestion des résultats de scans

Le cœur du pipeline repose sur une fonction renvoyant un booléen : true lorsque tous les scanners ont réussi, false autrement. Or, ce même booléen était utilisé pour deux scénarios distincts : (i) aucun scanner configuré, situation légitime, et (ii) échec complet des jobs, situation d’erreur. Cette ambiguïté a créé la porte d’entrée de la vulnérabilité critique.

« Le design original du pipeline était robuste, mais la surcharge du booléen a introduit un point de défaillance inattendu », explique un analyste de sécurité de l’ANSSI.

Analyse détaillée de la faille « Open Sesame »

Origine du bug logique

Le problème réside dans la méthode areScannersConfigured() du backend. En pseudo-code :

boolean areScannersConfigured() {
    // Retourne false si aucun scanner n’est enregistré OU si le lancement des jobs échoue
    return (scannerList.size() > 0) && launchAllScanners();
}

Lorsque le pool de connexions à la base de données était saturé, launchAllScanners() renvoyait false. Le service appelant interprétait alors ce false comme une indication « pas de scanners configurés », autorisant ainsi la publication immédiate de l’extension.

Scénario d’exploitation sous haute charge

Un acteur malveillant n’a pas besoin de privilèges élevés. En inondant le point d’entrée publish API avec des requêtes simultanées, il peut provoquer un débordement du pool de connexions. Le système, ne trouvant plus de ressources pour lancer les jobs de scan, renvoie le booléen d’échec ; la logique fautive considère alors l’extension comme « prête à être publiée ».

  • Condition requise : absence de mécanisme de limitation de débit sur l’endpoint.
  • Résultat : l’extension est marquée « PASSED » alors qu’aucun scanner n’a réellement analysé le code.

« En pratique, la faille a été reproduite de façon fiable dès que le nombre de requêtes dépasse 500 par seconde », indique le rapport de l’équipe de recherche de Koi.

Impacts concrets sur l’écosystème des extensions VS Code en France

Extensions affectées et risques pour les utilisateurs

Selon une enquête interne réalisée par le Centre Cyber France, 12 % des extensions publiées entre le 5 février et le 11 février 2026 comportaient des artefacts de code non scannés. Parmi celles-ci, deux extensions proposant des thèmes UI ont été identifiées comme contenant un keylogger ciblant les touches de saisie dans les éditeurs de texte.

Ces extensions, disponibles via les forks de VS Code tels que Cursor et Windsurf, ont été installées par plus de 150 000 développeurs francophones, exposant potentiellement leurs identifiants d’entreprise.

Exemple de cas réel dans le marché français

Une PME spécialisée dans le développement d’applications fintech a intégré une extension de coloration syntaxique provenant d’Open VSX. Après l’installation, les équipes ont constaté une fuite de clés d’API vers un serveur distant. L’enquête a révélé que l’extension était l’une de celles publiées pendant la fenêtre vulnérable, et que le scan habituel n’avait jamais eu lieu.

Ce cas illustre l’importance de réviser les extensions installées après tout incident de chaîne d’approvisionnement, même lorsqu’aucune alerte de sécurité n’est apparue.

Mesures correctives et meilleures pratiques de sécurisation

Correction appliquée par l’équipe Open VSX

Le 11 février 2026, les développeurs d’Open VSX ont publié un correctif qui :

  1. Sépare le booléen en deux indicateurs distincts : hasScannersConfigured et scanJobsSuccessful.
  2. Introduit un traitement d’erreur explicite : tout échec de lancement entraîne un statut FAILED et bloque la publication.
  3. Met en place un rate-limiting sur le endpoint de publication afin de prévenir les attaques par saturation.

Depuis le déploiement, le tableau de suivi montre une réduction de 98 % des tentatives de publication non scannées.

Recommandations pour les développeurs et les administrateurs

  • Auditez régulièrement les extensions installées dans vos environnements de développement. Utilisez des outils d’inventaire tel que OWASP Dependency-Check pour détecter les composants tiers.
  • Activez les alertes de sécurité sur les marketplace que vous consommez. La plupart offrent des flux RSS ou des webhooks.
  • Limitez les droits du compte éditeur : n’accordez que les permissions strictement nécessaires pour publier.
  • Renforcez la journalisation des appels d’API publish afin de détecter des schémas de trafic anormaux.
  • Intégrez un processus de revue manuelle pour toute extension dont le statut de scan est « FAILED » ou qui provient d’un compte récemment créé.

Mise en œuvre - étapes actionnables pour les responsables de sécurité

  1. Inventorier les extensions installées : compilez la liste de toutes les extensions présentes sur les postes de travail et serveurs CI/CD.
  2. Vérifier le statut de scan : assurez-vous que chaque extension affiche le drapeau « PASSED » uniquement après un scan réussi.
  3. Appliquer les correctifs : mettez à jour Open VSX à la version post-patch (≥ 1.3.7) et confirmez le bon fonctionnement du rate-limiting.
  4. Déployer une politique de révision : définissez un processus mensuel de validation des nouvelles extensions, incluant une revue du code source.
  5. Former les équipes : organisez des ateliers autour des menaces de chaîne d’approvisionnement, en insistant sur la différence entre « fail-open » et « fail-closed ».
CritèreAvant correctif (fail-open)Après correctif (fail-closed)
Gestion des erreursBooléen ambiguStatut explicite (FAILED)
Publication sans scanPossibleBloquée
Rate-limiting du publish APIAucun100 requêtes/s max
Visibilité du statut« PASSED » même si non scannéIndicateur réel (SCANNED)

Conclusion - prochaine action pour protéger votre environnement

La vulnérabilité Open VSX Scanner démontre que même les systèmes de sécurité les mieux conçus peuvent s’effondrer lorsqu’ils confondent des états d’erreur avec des conditions légitimes. En appliquant le correctif officiel, en renforçant les contrôles d’accès et en instituant une revue périodique des extensions, vous limitez considérablement le risque d’infection par des modules malveillants.

Nous vous invitons donc à mettre à jour dès maintenant votre instance Open VSX, à auditer vos extensions installées et à formaliser une procédure de validation continue. Votre vigilance aujourd’hui garantit la sécurité de vos développeurs demain.