Microsoft a introduit un changement dans le mécanisme de mise à jour automatique des extensions de Visual Studio Code (VS Code). Depuis la version 1.123 de l'éditeur de code, publiée le 3 juin 2026, les extensions ne sont plus mises à jour instantanément. Un délai de deux heures est désormais imposé avant que VS Code ne télécharge et n'installe une version plus récente.

Cette mesure vise à contrer les attaques sur la chaîne d'approvisionnement logicielle, une menace de plus en plus courante. Ces derniers mois, de nombreux paquets et extensions légitimes ont été compromis, leurs comptes de publication ayant été détournés par des attaquants. Ceux-ci publiaient alors une mise à jour malveillante qui se diffusait immédiatement auprès de tous les utilisateurs.

Une fenêtre de réaction pour les développeurs

L'objectif de cette temporisation est simple : offrir aux mainteneurs d'extensions une fenêtre de deux heures pour détecter une intrusion et réagir avant que la version compromise n'atteigne les machines des utilisateurs. Pendant ce laps de temps, aucune infection n'est censée se produire, alors qu'auparavant la propagation était instantanée.

Toutefois, ce délai n'est pas absolu. Microsoft a prévu des exceptions pour les extensions provenant d'éditeurs qu'il considère comme dignes de confiance, à savoir Microsoft, GitHub et OpenAI. Pour ces éditeurs, les mises à jour continueront de s'appliquer immédiatement, sans attendre.

Fonctionnement et alternatives

Les utilisateurs de VS Code conservent la possibilité de forcer manuellement la mise à jour d'une extension à tout moment, en cliquant sur le bouton « Mettre à jour » présent sur la page de l'extension concernée. Lorsqu'une extension est en attente de mise à jour automatique, l'interface affiche la raison de ce report ainsi que l'heure exacte à laquelle l'installation sera déclenchée.

Cette initiative n'est pas isolée. D'autres outils populaires ont mis en place des contrôles similaires. Le gestionnaire de paquets npm a introduit, depuis la version v11.10.0, une directive min-release-age qui retarde l'installation des nouvelles versions. Les outils Bun, pnpm et Yarn ont également intégré des mécanismes comparables.

Un délai jugé trop court par certains

Si la mesure est saluée comme une avancée en matière de sécurité, certains observateurs regrettent qu'il ne soit pas possible de personnaliser la durée de ce délai. Deux heures apparaissent comme une fenêtre relativement courte pour détecter et neutraliser une compromission. Un intervalle plus important, de l'ordre de 24 heures par exemple, pourrait offrir une protection renforcée, d'autant que les mises à jour d'extensions sont rarement urgentes. L'alternative pour les utilisateurs souhaitant un contrôle plus strict reste de désactiver purement et simplement les mises à jour automatiques, ce qui implique une gestion manuelle de chaque extension.