Pour faire face à la recrudescence des attaques sur la chaîne d’approvisionnement ciblant les professionnels de l’IT, Microsoft a pris une décision importante à propos de Visual Studio Code. Lorsqu’une mise à jour d’une extension est disponible, VS Code attendra 2 heures avant de l’installer de façon automatique. Un intervalle de temps relativement court, mais qui peut suffire dans certains cas.

Un délai de deux heures où tout peut se jouer

Au sein du journal des modifications de la version 1.123 de Visual Studio Code (VS Code), Microsoft a introduit un changement au niveau du mécanisme de mise à jour des extensions. L’occasion de rappeler que, par défaut, la mise à jour automatique est activée sur l’ensemble des extensions.

La nouvelle version publiée le 3 juin 2026 n’empêche pas les extensions de se mettre à jour automatiquement. Toutefois, et c’est subtil, elle ajoute un délai de deux heures avant que VS Code déclenche l’action permettant de passer sur une version plus récente.

Pour les utilisateurs de VS Code, il reste tout à fait possible de forcer la mise à jour d’une extension à tout moment en cliquant sur le bouton « Mettre à jour » présent sur la page de l’extension. De plus, lorsqu’une extension est en attente, il sera affiché la raison de ce report ainsi que le moment exact où la mise à jour automatique aura lieu.

Sachez que Microsoft a décidé de créer quelques exceptions : les extensions provenant d’éditeurs de confiance, tels que Microsoft, GitHub et OpenAI, continueront de se mettre à jour immédiatement. Mouais, enfin, je ne vois pas pourquoi cette nouvelle règle ne s’appliquerait pas à tous les éditeurs.

Une tendance de fond pour expliquer ce changement

Quel est l’intérêt de ce délai de 2 heures avant que VS Code installe les mises à jour des extensions ? En réalité, cette initiative de Microsoft vise à contrer les attaques sur la chaîne d’approvisionnement logicielle. Ces derniers mois, il y a eu de nombreux paquets et extensions compromises, ce qui a permis aux attaquants de distribuer des versions infectées d’extensions légitimes.

Cette mesure défensive offre donc une fenêtre de 2 heures aux mainteneurs d’extensions Visual Studio Code. En effet, dans le cas où un compte serait compromis et qu’une mise à jour malveillante serait publiée, le mainteneur disposerait de 2 heures pour détecter l’intrusion et réagir. Pendant ce temps, 0 infection, 0 victime, tandis qu’à l’heure actuelle, la diffusion est immédiate.

Ce changement introduit par Microsoft est une bonne idée. Dommage qu’il ne soit pas possible de personnaliser ce délai : 2 heures, cela me semble court. Un délai plus important, comme 24 heures, pourrait être intéressant. Ceci est d’autant plus vrai qu’il est très rare qu’une mise à jour d’extension soit urgente à ce point. L’alternative consiste à désactiver les mises à jour automatiques, mais cela oblige à un contrôle manuel…

Ce que vient de faire Microsoft n’est pas unique. En effet, des contrôles similaires ont été intégrés par plusieurs autres outils populaires comme Bun, npm (depuis la version v11.10.0 avec la directive ), pnpm et Yarn.

Source