Adoptez rapidement l'IA agentique dans le développement de logiciels ! (Spoiler : Vous ne devriez probablement pas.)

En tant que professionnel de la cybersécurité, avez-vous parfois l'impression que tout le monde est en train de passer à la vitesse supérieure en ce qui concerne l'IA agentique, alors qu'il serait peut-être temps d'y aller doucement et de réfléchir ? Eh bien, ce que beaucoup d'entre nous ont vu dans leurs boules de cristal de la sécurité de l'IA est maintenant soudainement une réalité. 

Le vendredi 14 novembre, Anthropic (l'un des fournisseurs de LLM les plus connus au monde, grâce à son populaire outil Claude Code) a publié un article novateur sur un cyberincident qu'il a observé en septembre 2025 et qui a ciblé tout le monde, des grandes entreprises technologiques aux institutions financières, en passant par les entreprises de fabrication de produits chimiques et les agences gouvernementales.

Alors, de quoi s'agit-il et qu'est-ce qui rend cette affaire si préoccupante ? En termes simples, un acteur très avancé (qui serait un État-nation) a utilisé Claude Code et une série d'outils dans l'environnement du développeur, en s'appuyant sur les systèmes de protocole de contexte de modèle (MCP), pour utiliser de manière presque autonome, à grande échelle, des outils de piratage bénins de source ouverte afin de cibler des entreprises soigneusement sélectionnées. Il y a eu plus de 30 tentatives d'attaques ; plusieurs ont réussi, prouvant que les agents d'intelligence artificielle pouvaient effectivement exécuter des violations dévastatrices avec très peu d'intervention humaine.

Le mois dernier, Koi Security a identifié GlassWorm, un premier ver à propagation automatique ciblant les extensions VS Code. Bien que ce dernier ne soit pas un nouveau vecteur d'attaque, il existe une nouvelle vague d'extensions de codage (y compris les serveurs MCP) qui, à première vue, ont une fonctionnalité bénigne, mais qui, sous le capot, hébergent une série d'activités malveillantes qui pourraient compromettre rapidement le point de terminaison d'un développeur.

Il est peut-être temps de ralentir, de respirer profondément et de réfléchir ensemble à la meilleure façon de se défendre contre ce nouveau profil de menace.

Sécuriser les systèmes contre les agents d'IA à grande vitesse

Le récent article d'Anthropic met en lumière une nouvelle menace puissante, qui confirme les craintes de longue date de nombreux membres de la communauté de la sécurité, en montrant comment l'IA peut accélérer et amplifier de manière spectaculaire les risques distribués. Cette évolution donne aux acteurs malveillants un avantage supplémentaire, ce qui est exaspérant compte tenu de l'avance qu'ils ont déjà sur le personnel de sécurité épuisé et à bout de souffle qui gère la prolifération des technologies dans l'entreprise moyenne.

En fait, les attaquants parrainés par un État ont réussi à "casser la prison" du modèle Claude Code. Ils ont réussi à tromper l'IA pour qu'elle contourne ses protocoles de sécurité sophistiqués afin d'exécuter des opérations hostiles. Une fois compromis, l'agent IA malhonnête, utilisant son accès MCP, s'est rapidement infiltré dans divers systèmes et outils de l'entreprise. Il a localisé et localisé avec précision des bases de données hautement sensibles au sein des organisations cibles dans un délai qui aurait été impossible à atteindre, même pour les groupes de pirates humains les plus avancés.

Cette violation a déclenché une cascade d'actions terrifiantes : des tests complets de vulnérabilité, la génération automatique de codes malveillants et même l'auto-documentation de l'attaque, avec les journaux de balayage du système et les informations personnelles identifiables (PII) qu'elle a réussi à capturer.

Pour les vétérans de la sécurité, il s'agit là d'un véritable scénario cauchemardesque. Comment des équipes humaines pourraient-elles rivaliser avec la vitesse et la capacité destructrice d'un vecteur d'attaque alimenté par ce type d'IA ?

Le point de terminaison d'un développeur et ce nouvel écosystème d'IA offrent de nouveaux vecteurs d'attaque.

Chaque développeur préfère son propre IDE, qu'il s'agisse du classique VSCode, d'IntelliJ ou d'Eclipse de JetBrains, ou des plus récents Cline, Windsurf ou Cursor, et la plupart d'entre eux disposent de places de marché d'applications offrant des extensions à télécharger et à installer. Ces extensions sont rarement examinées à la loupe pour détecter des activités malveillantes, elles sont généralement sur-autorisées et ont accès à un environnement de type "sandbox" où elles peuvent accéder à des fichiers. 

Ces environnements intègrent désormais tous des capacités d'IA, des agents d'IA et une série de nouveaux outils que ces agents peuvent utiliser (serveurs MCP, par exemple). Souvent, ces outils sont publiés sur des places de marché où n'importe quel développeur peut publier ses nouveaux outils. Et oui, vous l'avez deviné, ces serveurs MCP peuvent souvent lire, écrire et exécuter des commandes sur un système par l'intermédiaire d'un environnement d'IA qui est très probablement vulnérable aux injections d'invite. Qu'est-ce qui pourrait mal tourner ?

Le besoin non négociable de traçabilité et d'observabilité des outils d'IA

C'est à la fois complexe et simple : Si un RSSI ne sait pas quels développeurs utilisent quels outils d'IA, quel code est validé ou quels référentiels sont enrichis par la collaboration entre l'homme et l'IA, alors il manque un énorme ensemble de données et l'observabilité doit être améliorée dès aujourd'hui. 

L'intégration rapide des assistants de codage IA et des serveurs MCP, désormais exploités par une grande majorité de développeurs, a créé un angle mort critique en matière de sécurité au sein du SDLC. Les données sont alarmantes : jusqu'à 50 % du code généré par les MCP, fonctionnellement correct, contient des bogues de sécurité. Pourtant, en l'absence d'une observabilité appropriée, les RSSI et les équipes AppSec ne disposent pas d'informations exploitables sur le volume et les sources de ce code à haut risque qui est introduit. Ce manque critique de traçabilité rend impossible une gouvernance efficace de l'IA sous la forme d'une application des politiques et d'une atténuation des risques.

Pour maximiser en toute sécurité les immenses gains de productivité offerts par l'IA, les organisations doivent mandater des solutions qui fournissent une visibilité complète et approfondie de la surface d'attaque de l'IA. Secure Code Warrior a mis SCW Trust Agent : AI en version bêta fermée avec un nombre restreint de nos clients. Cette capacité fournit une observabilité profonde en surveillant activement le trafic de code généré par l'IA (y compris les serveurs MCP) en temps réel sur la machine locale du développeur, et l'IDE le suit à travers les demandes de tirage et les commits dans les dépôts de logiciels réels. Une traçabilité précise de la sécurité n'est possible qu'en corrélant trois signaux vitaux : l'outil de codage spécifique de l'IA et le modèle LLM utilisés, le dépôt de code ciblé et, plus important encore, la compétence mesurée du développeur en matière de codage sécurisé.

Ce n'est qu'en établissant cette chaîne de corrélation vérifiable qu'une organisation peut évaluer avec précision le risque de sécurité réel introduit, automatiser l'application d'une politique solide et s'assurer que les développeurs utilisant l'IA respectent les normes de codage sécurisées obligatoires avant que leurs contributions ne parviennent à contourner les garde-fous existants. 

Prenez contact avec nous si vous souhaitez en savoir plus ou voir une démonstration de la gouvernance de l'IA en action, ou envoyez-nous un message pour participer au programme bêta.