Group of programmers and software developers working on a new project at the office.

Les copilotes de programmation AI aggravent la sécurité du code et fuisent plus de secrets

Lucas Morel

Les référentiels compatibles avec Copilot sont 40% plus susceptibles de contenir des clés d’API, des mots de passe ou des jetons – juste l’un des nombreux problèmes que les chefs de sécurité doivent résoudre à mesure que le code généré par AI-prolifère.

Les assistants de codage de l’IA sont parmi les premières réussites de la révolution générative de l’IA dans les affaires. De plus en plus adoptés, la programmation de copilotes fait des percées dans les processus de développement, améliorez la productivité des développeurs et aide rapidement à se lever des projets rudimentaires.

Mais ils sont également un problème de sécurité, et le volume de code prévu qu’ils produiront bientôt est un cauchemar pour la fabrication des leaders de la sécurité, suggèrent les experts.

Ajoutez à la discussion habituelle des hallucinations GEN AI une probabilité accrue d’exposer des secrets tels que les clés d’API, les mots de passe et les jetons dans le code généré par l’AI.

Selon une étude récente de Gitguardian, les référentiels de logiciels compatibles GitHub Copilot sont plus susceptibles d’avoir des secrets exposés que les référentiels standard, avec 6,4% des référentiels échantillonnés contenant des touches API, des mots de passe ou des jetons à risque de vol par rapport aux 4,6% de tous les dépôts exposant des secrets.

Cela se traduit par un taux d’incident de 40% plus élevé de fuite secrète, selon les chercheurs de Gitguardian, avertissant que l’utilisation d’assistants de codage peut pousser les développeurs à hiérarchiser la productivité sur la qualité et la sécurité du code, ajoutant que le code généré par les modèles de grande langue (LLM) peut être intrinsèquement moins sécurisé que les logiciels écrits conventionnellement.

Flaws sous-jacents en ébullition de développement logiciel alimenté par AI

David Benas, consultant principal associé chez le fournisseur de sécurité des applications Black Duck, a déclaré que ces problèmes de sécurité sont une conséquence naturelle de la formation de modèles d’IA sur le code généré par l’homme.

« Le plus tôt tout le monde sera à l’aise de traiter ses LLM générateurs de code car ils le feraient des stagiaires ou des ingénieurs juniors qui poussent le code, mieux c’est », a déclaré Benas. «Les modèles sous-jacents derrière les LLM seront intrinsèquement aussi imparfaits que la somme du corpus humain de code, avec une portion supplémentaire de défaut saupoudré sur le dessus en raison de leur tendance à halluciner, à dire des mensonges, des requêtes de méconnaissance, des requêtes erronées de processus, etc.»

«Ces outils manquent souvent de conscience contextuelle des pratiques de sécurité et, sans surveillance appropriée, peuvent générer du code peu sûr et des vulnérabilités persistantes», a déclaré Smith. « Cela devient un problème systématique car le code généré par LLM se propage et crée des défauts dans toute la chaîne d’approvisionnement, avec plus de 70% de la dette de sécurité critique résultant désormais d’un code tiers », selon un récent rapport de Veracode.

Contrôles de sécurité négligés

Mark Cherp, chercheur en sécurité chez Cyberark Labs, a déclaré que les assistants de codage de l’IA ne parviennent souvent pas à respecter les solides pratiques de gestion secrètes généralement observées dans les systèmes traditionnels.

« Par exemple, ils peuvent insérer des informations sensibles en texte brut dans le code source ou les fichiers de configuration », a déclaré Cherp. «En outre, parce que de grandes parties de code sont générées pour les produits à un stade précoce, les meilleures pratiques telles que l’utilisation des gestionnaires de secrets ou la mise en œuvre de mot de passe en temps réel et d’injection de jetons sont fréquemment négligés.»

Cherp a ajouté: «Il y a déjà eu des cas où des clés d’API ou des clés publiques de sociétés telles que Anthropic ou OpenAI ont été laissées par inadvertance dans le code source ou téléchargées dans des projets open-source, ce qui les rend facilement exploitables. Même dans des projets à source fermée, si les secrets sont dures ou stockés dans des fichiers binaires ou des liens locaux, le risque reste important, car les Secrets sont faciles à extraire. »

Établir des pratiques de développement assistées par l’IA sécurisées

Chris Wood, PME de sécurité des applications principales dans la société de formation de cybersécurité Immersive Labs, a décrit l’avertissement de Gitguardian sur les dangers des assistants de codage de l’IA comme un «réveil».

« Bien que l’IA offre un potentiel incroyable pour stimuler la productivité, il est crucial de se rappeler que ces outils ne sont aussi sécurisés que leurs données de formation et la vigilance des développeurs », a déclaré Wood.

Les CISO et les dirigeants de la sécurité doivent formuler des stratégies complètes de gestion des secrets en première étape. En outre, les entreprises devraient établir des politiques claires concernant l’utilisation des assistants de codage d’IA et offrir aux développeurs une formation spécifique sur les pratiques de développement assistées par l’IA sécurisées.

« Nous devons équiper les développeurs des connaissances et des compétences pour identifier et empêcher ces types de vulnérabilités, même lorsque l’IA aide à la création de code », a déclaré Wood. «Cela comprend une base solide dans les principes de codage sécurisé, la compréhension des modèles de fuites secrètes communs et la connaissance de gérer et de stocker correctement les références sensibles.»

«En autorisant les développeurs aux connaissances appropriées et en favorisant un état d’esprit de sécurité, nous pouvons exploiter les avantages de l’IA tout en atténuant le potentiel de vulnérabilités de sécurité accrues comme la fuite secrète», a conclu Wood.

Contre-mesures proactives

Plus le code LLM est produit, plus les développeurs lui feront confiance – composant davantage le problème et créant un cercle vicieux qui doit être étouffé dans l’œuf.

« Sans tests de sécurité appropriés, le code généré par une AI insécurité deviendra les données de formation des futurs LLM », a averti Smith de Veracode. «Fondamentalement, la façon dont les logiciels sont construits changent rapidement, et la confiance dans l’IA ne devrait pas se faire au détriment de la sécurité.»

Le développement de l’IA continuera de dépasser les contrôles de sécurité à moins que les entreprises prennent des mesures proactives pour contenir le problème plutôt que de tenter de s’appuyer sur des correctifs réactifs.

« Les CISO doivent se déplacer rapidement pour intégrer les garde-corps de sécurité, l’automatisation des vérifications de sécurité et les examens de code manuel directement dans les flux de travail agentiques et développeurs », a conseillé Smith. « Audit les bibliothèques tierces garantit que le code généré par l’IA ne présente pas de vulnérabilités à partir de composants non vérifiés. »

L’intégration d’outils automatisés tels que des scanners secrets dans le pipeline CI / CD, suivis d’une revue obligatoire du développeur humain, devrait être utilisé pour filtrer les logiciels développés à l’aide d’assistants de codage AI.

« Tous les code générés par l’AI doivent être surveillés et désinfectés en permanence – avec un plan de réponse aux incidents rapide en place pour aborder toutes les vulnérabilités découvertes », a conseillé Cyberark de Cyberark.

Les entreprises qui continuent de lutter avec la gestion des titres de compétences

La gestion des informations d’identification des clés API, des mots de passe et des jetons est un problème établi de longue date dans la sécurité des applications que les innovations récentes dans le développement de code alimenté par l’IA aggravent plutôt que de créer.

Le rapport de Gitguardian State of Secrets Sprawl 2025 a révélé une augmentation de 25% des secrets divulgués d’une année à l’autre, avec 23,8 millions de nouvelles références détectées sur le public Github en 2024 seulement.

Les secrets codés en dur sont partout, mais surtout dans les angles morts de sécurité comme les plateformes de collaboration (Slack et Jira) et les environnements de conteneurs où les contrôles de sécurité sont généralement plus faibles, selon Gitguardian.

Malgré la protection push de Github, aidant les développeurs à détecter les modèles secrètes connus, les secrets génériques – y compris les mots de passe à code dur, les informations d’identification de base de données et les jetons d’authentification personnalisés – représentent désormais plus de la moitié de toutes les fuites détectées. En effet, contrairement aux clés API ou aux jetons OAuth qui suivent des modèles reconnaissables, ces informations d’identification manquent de modèles standardisés, ce qui les rend presque impossibles à détecter avec des outils conventionnels, prévient Gitguardian.

Gitguardian met en évidence la violation du Département du Trésor américain de 2024 comme un avertissement: « Une seule clé d’API divulguée de Beyondtrust a permis aux attaquants d’infiltrer les systèmes gouvernementaux », selon le PDG de Gitguardian, Eric Fourrier. « Ce n’était pas une attaque sophistiquée – c’était un cas simple d’un diplôme exposé qui a contourné des millions d’investissements en sécurité. »

Randonnée

L’étude a également révélé que 70% des secrets divulgués restent actifs même deux ans après leur première exposition. Les retards ont tendance à survenir parce que l’assainissement est complexe, selon les experts en sécurité.

«Les clés d’API divulguées, les mots de passe et les jetons sont souvent négligés car les détecter ne sont qu’une partie de la solution; l’assainissement efficace est complexe et fréquemment retardé», a déclaré Mayur Upadhyaya, PDG de Cybersecurity Tools Vendor ApiContext. «La dépendance à l’égard des clés statiques, souvent intégrée dans le code pour la commodité, continue d’être un point faible majeur.»

Upadhyaya a ajouté: « Les meilleures pratiques comme les clés rotatives, la mise en œuvre de jetons de courte durée et l’application de l’accès à moins de privile sont bien compris mais difficiles à maintenir à l’échelle. »

Les entreprises doivent chercher à ériger des garde-corps plus forts – les outils de numérisation automatisés, la surveillance proactive et le meilleur support de développeur pour garantir que les pratiques sécurisées sont suivies de manière plus cohérente, a conclu Upadhyaya.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?