Les risques de confidentialité des extensions IA ChatGPT – 中文版 et ChatMoss sur Visual Studio Code
Par L'équipe rédaction PocketNew
Publié le janvier 26, 2026
Deux extensions populaires sur le Visual Studio Code Marketplace, ChatGPT – 中文版 et ChatMoss, suscitent des préoccupations majeures en raison de la manière dont elles gèrent les données des utilisateurs. Derrière leur façade de simples outils d’aide à la programmation, elles cachent un mécanisme de transfert de données vers des serveurs situés en Chine, sans que les utilisateurs en soient informés. Ces découvertes mettent en lumière les dangers potentiels liés à l’utilisation de certaines extensions IA non vérifiées.
L’essentiel à retenir
- Les extensions ChatGPT – 中文版 et ChatMoss transfèrent des fichiers vers des serveurs chinois sans consentement utilisateur.
- Koi Security a révélé ces pratiques après des tests approfondis, mettant en évidence l’absence d’alertes ou de demandes d’autorisation dans l’interface utilisateur.
- Microsoft, informé de la situation, enquête actuellement sur ces extensions, qui restent disponibles sur le marketplace de Visual Studio Code.
Fonctionnement des extensions ChatGPT – 中文版 et ChatMoss
ChatGPT – 中文版 et ChatMoss sont conçus pour offrir des suggestions et complétions de code aux développeurs. Installées comme n’importe quelle extension Visual Studio Code, elles fonctionnent en apparence de manière attendue, en intégrant des recommandations de code directement dans l’interface de l’éditeur.
Toutefois, Koi Security a découvert que ces extensions exécutent des opérations en arrière-plan qui ne sont pas visibles pour l’utilisateur. Lorsqu’un fichier est ouvert, son contenu est encodé en Base64, puis envoyé à un serveur distant sans avertissement préalable.
Analyse des risques de confidentialité
Les chercheurs de Koi Security ont documenté que cette transmission de données inclut non seulement le contenu des fichiers, mais aussi leur emplacement dans le projet. Cela permet potentiellement de reconstituer l’ensemble de la structure d’un projet en cours de développement, ce qui pose de sérieux risques de confidentialité pour les développeurs utilisant ces extensions.
En outre, les serveurs distants peuvent envoyer des commandes aux extensions pour organiser l’envoi de plusieurs fichiers d’un même projet en une seule séquence, augmentant ainsi le volume de données exfiltrées à l’insu de l’utilisateur.
Réactions et réponses de la communauté
À la suite de ces révélations, Microsoft a été alerté par les chercheurs et a confirmé qu’une enquête est en cours. Bien que les extensions soient toujours disponibles, les utilisateurs sont invités à faire preuve de prudence et à évaluer les risques potentiels avant de les installer.
BleepingComputer a également confirmé les conclusions de Koi Security après avoir analysé les échanges réseau, soulignant l’importance d’une vigilance accrue lors de l’ajout d’extensions tierces dans des environnements de développement.
Contexte sur Visual Studio Code et le souci de sécurité des extensions
Visual Studio Code est un éditeur de code source ouvert développé par Microsoft. Il est largement utilisé par les développeurs du monde entier pour sa flexibilité et la richesse de ses extensions disponibles sur le marketplace. Cependant, cette même richesse peut devenir un point faible si les extensions ne sont pas soigneusement vérifiées pour des comportements suspects.
Les incidents récents liés à ChatGPT – 中文版 et ChatMoss rappellent aux développeurs l’importance de vérifier la sécurité et la réputation des extensions qu’ils ajoutent à leurs outils de travail. Les risques de fuite de données et de violation de la confidentialité sont réels et nécessitent une attention constante pour protéger les projets sensibles.