Un piratage inédit sur les projets open source de Microsoft
En juin 2026, Microsoft a annoncé la suspension temporaire de plusieurs dizaines de dépôts hébergés sur GitHub après la découverte d’un code malveillant intégré dans des outils destinés aux développeurs d’intelligence artificielle. Les attaques, détectées par les sociétés de sécurité Cloudsmith et OpenSourceMalware, ont permis aux cybercriminels d’intercepter les identifiants et autres informations sensibles dès que les victimes ouvraient les programmes compromis.
Comment les malwares ont été injectés
Les chercheurs ont identifié un fragment de code capable de récupérer les mots‑passe stockés dans les configurations locales ou les variables d’environnement. Une fois le dépôt infecté, chaque copie téléchargée par un développeur était susceptible d’exécuter le script de vol, transformant ainsi un outil légitime en une porte dérobée. Les projets touchés comprenaient des extensions pour Azure, le CLI de Gemini, le plug‑in Claude Code et même le populaire éditeur VS Code.
Réaction de Microsoft et conséquences immédiates
Microsoft a immédiatement désactivé les dépôts concernés, affichant le message standard de GitHub : « Access to this repository has been disabled by GitHub Staff due to a violation of GitHub’s terms of service. ». Selon le porte‑parole Ben Hope, certains dépôts ont été restaurés après vérification, tandis que d’autres restent indisponibles tant que l’enquête se poursuit. La société a notifié « un petit nombre de clients » qui auraient pu télécharger les versions contaminées, et promet de communiquer directement via ses canaux de support si une action supplémentaire était requise.
Un nouveau type d’attaque de chaîne d’approvisionnement
Ce type d’intrusion, qualifié d’« supply‑chain attack », vise des bibliothèques ou des frameworks largement adoptés afin d’atteindre un grand nombre d’utilisateurs avec un seul point d’entrée. En détournant des projets open source, les assaillants peuvent infiltrer des environnements cloud, collecter des données clients ou installer des logiciels espions supplémentaires. Bien que les attaques contre des développeurs individuels soient fréquentes, il est rare de voir des géants technologiques comme Microsoft, disposant de ressources de défense importantes, tomber dans ce piège.
Un historique de compromissions récentes
Il s’agit du deuxième incident signalé en quelques semaines. En mai 2026, le projet Durable Task, une bibliothèque facilitant la création d’applications distribuées, avait déjà été infiltré. L’enquête actuelle suggère soit une ré‑infection du même dépôt, soit une nouvelle brèche, indiquant que les mesures correctives antérieures n’étaient peut‑être pas suffisantes.
Que faire pour se protéger ?
Les experts recommandent de vérifier l’intégrité des dépendances avant chaque mise à jour, d’utiliser des signatures numériques lorsqu’elles sont disponibles, et de surveiller les alertes de sécurité publiées par les mainteneurs de projets. En cas de doute, il est prudent de supprimer les paquets concernés et de télécharger des versions officielles depuis des sources vérifiées.