LMi-MAG26 Juillet - Flipbook - Page 59
Selon les analystes de GitGuardian, cela se traduit par
un taux d’incidents de type fuite de secrets supérieur de
40%. Les mêmes analystes avertissent que l’utilisation
d’assistants de codage peut pousser les développeurs à
donner la priorité à la productivité plutôt qu’à la qualité
et à la sécurité du code, et ajoutent que le code généré
par les grands modèles de langage (LLM) peut être
intrinsèquement moins sûr que les logiciels écrits de
manière conventionnelle.
généralement présentes dans les systèmes traditionnels.
« Par exemple, ils peuvent insérer des informations sensibles en texte clair dans le code source ou les fichiers
de configuration, explique l’expert. En outre, comme de
grandes portions de code sont générées pour des produits en phase de démarrage, les meilleures pratiques
telles que l’utilisation de gestionnaires de secrets ou
la mise en œuvre de l’injection de mots de passe et de
tokens en temps réel sont souvent négligées. »
Les failles sous-jacentes
au développement avec l’IA
Et Mark Cherp d’ajouter : « Il y a déjà eu des cas où des
clés d’API ou des clés publiques d’entreprises telles
qu’Anthropic ou OpenAI ont été laissées par inadvertance
dans le code source ou téléchargées dans des projets open
source, ce qui les rend facilement exploitables. Même
dans les projets à code source fermé, si les secrets sont
codés en dur ou stockés en texte clair dans des fichiers
binaires ou des fichiers JavaScript locaux, le risque reste
important, car ces secrets demeurent faciles à extraire. »
Les experts en sécurité s’accordent à dire que l’utilisation d’assistants de codage IA aboutit à du code moins
sécurisé. David Benas, consultant principal associé chez
l’éditeur de solutions de sécurité applicative Black Duck,
explique que ces problèmes de sécurité sont une conséquence naturelle de l’entraînement des modèles d’IA sur
du code généré par l’homme.
Etablir des pratiques sécurisées pour et avec l’IA
« Le plus tôt tout le monde se sentira à l’aise avec le
fait de traiter ses LLM générateurs de code comme s’il
s’agissait de stagiaires ou d’ingénieurs juniors poussant du code, le mieux ce sera, soupire David Benas.
Les modèles sous-jacents aux LLM seront intrinsèquement aussi défectueux que la somme du corpus de code
humain, avec une portion supplémentaire de défauts en
raison de la tendance de ces outils à halluciner, à raconter des mensonges, à mal comprendre les requêtes, à
traiter des requêtes défectueuses, etc. »
Si les assistants tels que GitHub Copilot augmentent la
vitesse des développeurs, ils introduisent également
de nouveaux risques de sécurité, abonde John Smith,
directeur de la technologie pour la zone EMEA chez
l’éditeur spécialiste de la sécurité applicative Veracode.
« Ces outils manquent souvent de conscience contextuelle des pratiques de sécurité et, sans une supervision
appropriée, peuvent générer du code non sécurisé et des
vulnérabilités persistantes, dit-il. Cela devient un problème systémique lorsque le code généré par les LLM se
propage et crée des failles tout au long de la supply chain
logicielle. » Selon une récente étude de Veracode, plus de
70 % de la dette critique de sécurité provient désormais
de codes tiers.
Chris Wood, spécialiste sécurité applicative de la société
de formation en cybersécurité Immersive Labs, qualifie l’avertissement de GitGuardian sur les dangers des
assistants de codage à base d’IA de signal d’alarme.
« Bien que l’IA présente un potentiel incroyable pour
stimuler la productivité, il est crucial de se rappeler que
la sécurité qu’offrent ces outils n’est jamais supérieure à
celle de leurs données de formation et à la vigilance des
développeurs », dit-il. [Lire l’intégralité de l’article sur
lemondeinformatique.fr]
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/podcast-ia-secu
Des contrôles de sécurité négligés
Mark Cherp, chercheur en sécurité au sein du spécialiste de la gestion des identités CyberArk, souligne que
les assistants de codage de l’IA n’adhèrent la plupart du
temps pas aux bonnes pratiques de gestion des secrets,
LIRE EN LIGNE
Article
tinyurl.com/article-ia-secu
59
