Une attaque sophistiquée de la chaîne d'approvisionnement a compromis 3 800 dépôts de code internes de GitHub, aggravant une crise au sein de la plateforme de développement appartenant à Microsoft, déjà marquée par un exode des dirigeants, des pannes de service persistantes et des menaces concurrentielles croissantes. La faille, perpétrée par le groupe de hackers TeamPCP motivé par l'appât du gain, provient de l'installation par un employé d'une extension empoisonnée pour Visual Studio Code, l'éditeur de code populaire de Microsoft.
« Nous avons supprimé la version malveillante de l'extension, isolé le poste de travail et commencé immédiatement à répondre à l'incident », a déclaré GitHub dans un communiqué, confirmant que les secrets critiques ont été renouvelés. La directrice de la sécurité de l'entreprise, Alexis Wales, a confirmé plus tard que le vecteur d'attaque était une version malveillante de l'extension Nx Console, v18.95.0, qui est restée sur la place de marché officielle pendant seulement 18 minutes le 18 mai. Malgré ce court laps de temps, les mises à jour automatiques ont pu pousser le package malveillant vers plus de 6 000 utilisateurs.
L'attaque, identifiée sous le code CVE-2026-48027, impliquait une charge utile de vol d'identifiants nommée SANDCLOCK, récupérée depuis un package caché. Le point d'entrée initial des attaquants était une compromission préalable de l'outil de développement open-source TanStack le 11 mai, ce qui leur a permis de voler les identifiants GitHub d'un développeur de Nx Console. TeamPCP a d'abord proposé les 3 800 dépôts volés à la vente pour 50 000 dollars, avant de porter le prix à 95 000 dollars après s'être apparemment associé au groupe de hackers Lapsus$.
Cette faille de sécurité s'ajoute à une période de turbulences internes qui a débuté après le départ de l'ancien PDG Thomas Dohmke l'année dernière. Microsoft a choisi de ne pas nommer de successeur, intégrant plutôt GitHub à son équipe CoreAI dirigée par Jay Parikh, ancien dirigeant de Meta. Ce mouvement a été suivi d'un exode de hauts dirigeants, dont Julia Liuson, vétérane de 34 ans chez Microsoft, et Elizabeth Pemmerl, directrice des revenus. L'instabilité et les pannes de service fréquentes ont conduit les développeurs à remettre publiquement en question la fiabilité de la plateforme, certains projets de haut profil annonçant leur départ.
Une menace croissante sur la chaîne d'approvisionnement
L'incident GitHub est la conséquence la plus visible d'une campagne de plusieurs mois menée par TeamPCP (suivi par le groupe Threat Intelligence de Google sous le nom UNC6780) ciblant l'écosystème du développement logiciel. La méthode du groupe est un cycle auto-entretenu : compromettre un outil de développement populaire pour voler des identifiants, puis utiliser ces identifiants pour publier des versions malveillantes d'autres outils, élargissant ainsi leur accès.
Grafana Labs a confirmé avoir également été compromis via la même attaque TanStack initiale, recevant une demande de rançon le 16 mai qu'elle a refusé de payer. Deux appareils d'employés chez OpenAI et certains dépôts de code chez Mistral AI ont également été compromis dans la même vague d'attaques.
« Les stations de travail des développeurs possèdent désormais la même valeur stratégique que les contrôleurs de domaine », a déclaré Morey Haber, conseiller principal en sécurité chez BeyondTrust Corp., dans un courriel. « L'accès aux dépôts de code source, aux secrets, aux clés SSH, aux identifiants cloud, aux certificats de signature et aux pipelines de déploiement peut transformer un seul poste compromis en un incident de chaîne d'approvisionnement en cascade. »
Le défi stratégique de Microsoft
Bien que GitHub soutienne qu'aucun code client n'a été affecté, la violation du code de sa propre plateforme donne aux attaquants un aperçu de son architecture, permettant potentiellement de futures failles zero-day. L'incident souligne le défi stratégique auquel fait face Microsoft, qui a acquis GitHub pour 7,5 milliards de dollars en 2018. La plateforme n'est pas seulement un produit mais le fondement de la relation de Microsoft avec la communauté des développeurs.
La crise survient alors que l'outil Copilot de GitHub, propulsé par l'IA, perd son avantage de pionnier face à des concurrents comme Cursor et Claude Code. Des sources internes rapportent que Jay Parikh a averti ses collègues que GitHub fait face à une « menace sévère ». La combinaison de failles de sécurité, d'instabilité opérationnelle et d'une perte de direction perçue risque d'éroder la confiance des développeurs — l'atout le plus critique de GitHub — créant une opportunité pour ses rivaux de remodeler le marché.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
