Les assistants de programmation par IA sont partout. Ils suggèrent du code, expliquent les erreurs, écrivent des fonctions…. Toutes les places de marché pour développeurs en regorgent : des wrappers de ChatGPT, des alternatives à Copilot, des outils de complétion de code promettant d’améliorer la productivité des développeurs.
Des chercheurs de l’entreprise israélienne KOI.ia, spécialisée dans la sécurisation des terminaux professionnels (end points), ont identifié deux extensions malicieuses très populaires (installées 1,5M de fois) et utilisées pour vérifier du code Microsoft Visual Studio.
| Nom de l’extension | Éditeur | # d’installations |
|---|---|---|
| ChatGPT – 中文版 | WhenSunset (whensunset.chatgpt-china) | 1,35 M |
| ChatMoss (CodeMoss) | zhukunpeng (zhukunpeng.chat-moss) | 150 K |
Le problème ? Ces extensions capturaient chaque fichier ouvert, chaque modification réalisée, et envoyaient le tout vers des serveurs en Chine. Sans consentement. Sans transparence. (Les extensions ne semblent plus disponibles sur la marketplace Microsoft Visual Studio).
Cette affaire nous rappelle étrangement les extensions Chrome malveillantes qui siphonnaient les données des utilisateurs.
Crédit photo – Clubic.