Microsoft va désormais appliquer un délai de deux heures avant le déploiement automatique des nouvelles versions d’extensions dans Visual Studio Code. Cette mesure vise à réduire les risques liés aux attaques de la chaîne d’approvisionnement, un type de menace qui cible de plus en plus les outils et composants utilisés par les développeurs.
Un délai volontaire avant l’installation des nouvelles extensions
Jusqu’à présent, les nouvelles versions pouvaient être déployées quasiment immédiatement après leur publication sur la marketplace. Concrètement, les utilisateurs ayant activé les mises à jour automatiques ne recevront plus instantanément les nouvelles versions d’extensions. Microsoft explique que ce laps de temps doit permettre de détecter d’éventuels comportements suspects avant qu’une mise à jour compromise ne soit diffusée à grande échelle.
L’éditeur précise que les mises à jour manuelles restent disponibles sans délai pour les utilisateurs qui souhaitent installer immédiatement une nouvelle version.
Une réponse à la multiplication des attaques supply chain
Cette évolution intervient dans un contexte marqué par une augmentation des attaques visant la chaîne d’approvisionnement logicielle. Ces opérations consistent à compromettre un composant, une bibliothèque, un dépôt de code ou un outil de développement afin de toucher indirectement un grand nombre d’organisations.
Les extensions représentent un point d’entrée particulièrement sensible. Une extension compromise peut bénéficier de la confiance accordée à un éditeur légitime et se diffuser rapidement auprès de milliers, voire de millions d’utilisateurs avant que l’incident ne soit identifié. Ces dernières années, plusieurs campagnes ont ciblé des référentiels de code, des bibliothèques open source ou des environnements de développement afin d’introduire du code malveillant dans des logiciels utilisés par des entreprises du monde entier.
Une approche fondée sur la détection précoce
Le délai instauré par Microsoft ne bloque pas les attaques. Il crée toutefois une fenêtre supplémentaire durant laquelle des analyses automatisées, des signalements ou des remontées de la communauté peuvent permettre d’identifier une version suspecte avant qu’elle ne soit massivement déployée.
Face à des chaînes logicielles de plus en plus complexes, les éditeurs cherchent à introduire des mécanismes de contrôle supplémentaires sans remettre en cause les processus de mise à jour qui restent essentiels pour corriger rapidement les vulnérabilités.
Le choix de Microsoft traduit également un arbitrage intéressant. Pendant des années, l’industrie a privilégié la diffusion la plus rapide possible des correctifs et des nouvelles versions. L’éditeur considère désormais qu’un léger ralentissement peut, dans certains cas, contribuer à réduire un risque devenu significatif pour l’écosystème logiciel.
