GitHub piraté via une extension VS Code : quand la confiance aveugle coûte cher

La sécurité numérique repose souvent sur un équilibre fragile : celui de la confiance. Et c'est précisément ce qui a été ébranlé chez GitHub, comme le révèle Korben, après qu'un employé a installé une extension malveillante dans Visual Studio Code. Résultat ? Un accès non autorisé aux dépôts internes de la plateforme, qui héberge une part colossale du code open source mondial.

Ce piratage rappelle une vérité simple : même les géants de la tech ne sont pas à l'abri des erreurs humaines. Les extensions tierces, souvent perçues comme inoffensives, peuvent devenir des chevaux de Troie si elles ne sont pas vérifiées. GitHub a réagi en renforçant ses protocoles, mais cette faille soulève une question plus large : comment concilier productivité et sécurité dans un écosystème où les outils s'empilent ?

L'Europe, elle, montre la voie avec des initiatives comme le Cyber Resilience Act, qui encadre la sécurité des logiciels et des services numériques. Des solutions souveraines, comme les environnements de développement intégrés (IDE) open source européens, pourraient aussi limiter ces risques en offrant une alternative transparente et auditable. Car au fond, la meilleure protection reste de savoir exactement ce que l'on installe — et d'où ça vient. Un rappel utile, surtout à l'heure où l'IA et les outils collaboratifs multiplient les dépendances invisibles.