Plongée en profondeur : Naviguer dans les vulnérabilités générées par les assistants de codage de l'IA
Où que vous regardiez, la technologie de l'IA fait l'objet d'une fixation constante dans presque tous les secteurs verticaux. Louée par certains comme la réponse à la création rapide de fonctionnalités dans le développement de logiciels, les gains de vitesse ont un prix : le potentiel de bogues de sécurité graves se frayant un chemin dans les bases de code, grâce à un manque de conscience contextuelle de l'outil lui-même, et des compétences de sécurité de bas niveau des développeurs qui comptent sur eux pour stimuler la productivité et générer des réponses à des scénarios de développement difficiles.
La technologie du grand modèle de langage (LLM) représente un changement radical dans les outils d'assistance et, si elle est utilisée de manière sûre, elle pourrait bien être le compagnon de programmation en binôme que tant d'ingénieurs en logiciel appellent de leurs vœux. Une étude réalisée en 2023 par l'université de Stanford a révélé que l'utilisation d'assistants d'intelligence artificielle était susceptible d'engendrer un code plus bogué et moins sûr dans l'ensemble, tout en augmentant la confiance dans la sécurité des résultats.
S'il est légitime de penser que les outils continueront à s'améliorer au fur et à mesure que la course à la perfection de la technologie LLM se poursuit, un ensemble de recommandations - dont un nouveau décret de l'administration Biden, ainsi que la loi sur l'intelligence artificielle de l'UE - rend leur utilisation délicate en tout état de cause. Les développeurs peuvent prendre une longueur d'avance en perfectionnant leurs compétences en matière de sécurité au niveau du code, leur sensibilisation et leur esprit critique à l'égard des résultats des outils d'IA, et devenir ainsi des ingénieurs de plus haut niveau.
Comment les assistants de codage de l'IA introduisent-ils des vulnérabilités ? Jouez à notre NOUVELLE mission publique et voyez par vous-même !
Exemple : Scripting intersite (XSS) dans "ChatterGPT".
Notre nouvelle mission publique révèle l'interface familière d'un LLM populaire et utilise un extrait de code réel généré à la fin du mois de novembre 2023. Les utilisateurs peuvent interpréter ce bout de code et étudier les éventuels problèmes de sécurité s'il devait être utilisé dans le but prévu.
À la question "Pouvez-vous écrire une fonction JavaScript qui modifie le contenu de l'élément HTML p, dont le contenu est transmis par cette fonction ?", l'assistant d'IA produit consciencieusement un bloc de code, mais tout n'est pas ce qu'il semble être.
Avez-vous déjà relevé le défi ? Si ce n'est pas le cas, essayez maintenant avant de lire la suite.
... ok, maintenant que vous l'avez terminé, vous savez que le code en question est vulnérable au cross-site scripting (XSS).
Le XSS est rendu possible par la manipulation de la fonctionnalité de base des navigateurs web. Il peut se produire lorsque des données non fiables sont affichées sur une page, mais interprétées à tort comme du code exécutable et sûr. Un pirate peut placer un extrait malveillant (balises HTML, JavaScript, etc.) dans un paramètre d'entrée, qui, lorsqu'il est renvoyé au navigateur, est alors exécuté au lieu d'être affiché en tant que données.
Utiliser des assistants de codage IA en toute sécurité dans le développement de logiciels
Une récente enquête menée auprès d'équipes de développement en activité a révélé que la quasi-totalité d'entre elles - soit 96 % - ont commencé à utiliser des assistants d'IA dans leur flux de travail, 80 % d'entre elles contournant même les politiques de sécurité pour les conserver dans leur boîte à outils. En outre, plus de la moitié d'entre elles reconnaissent que les outils d'IA générative créent couramment du code non sécurisé, mais cela n'a manifestement pas ralenti l'adoption de ces outils.
Avec cette nouvelle ère de processus de développement de logiciels, décourager ou interdire l'utilisation de ces outils a peu de chances de fonctionner. Au contraire, les organisations doivent permettre à leurs équipes de développement d'utiliser les gains d'efficacité et de productivité sans sacrifier la sécurité ou la qualité du code. Pour ce faire, il faut les former avec précision aux meilleures pratiques de codage sécurisé et leur donner la possibilité de développer leur esprit critique, en veillant à ce qu'ils agissent avec un état d'esprit axé sur la sécurité, en particulier lorsqu'ils évaluent la menace potentielle que représente le code produit par l'assistant d'IA.
Pour en savoir plus
Pour les XSS en général, consultez notre guide complet.
Vous voulez en savoir plus sur la manière d'écrire du code sécurisé et de réduire les risques? Essayez gratuitement notre défi d'injection XSS.
Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.
.avif)
Explorez les risques de sécurité de l'IA dans le développement de logiciels et apprenez à relever ces défis de manière efficace avec Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Laura Verheyde est développeuse de logiciels à l'adresse Secure Code Warrior . Elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Missions et Coding labs.
Où que vous regardiez, la technologie de l'IA fait l'objet d'une fixation constante dans presque tous les secteurs verticaux. Louée par certains comme la réponse à la création rapide de fonctionnalités dans le développement de logiciels, les gains de vitesse ont un prix : le potentiel de bogues de sécurité graves se frayant un chemin dans les bases de code, grâce à un manque de conscience contextuelle de l'outil lui-même, et des compétences de sécurité de bas niveau des développeurs qui comptent sur eux pour stimuler la productivité et générer des réponses à des scénarios de développement difficiles.
La technologie du grand modèle de langage (LLM) représente un changement radical dans les outils d'assistance et, si elle est utilisée de manière sûre, elle pourrait bien être le compagnon de programmation en binôme que tant d'ingénieurs en logiciel appellent de leurs vœux. Une étude réalisée en 2023 par l'université de Stanford a révélé que l'utilisation d'assistants d'intelligence artificielle était susceptible d'engendrer un code plus bogué et moins sûr dans l'ensemble, tout en augmentant la confiance dans la sécurité des résultats.
S'il est légitime de penser que les outils continueront à s'améliorer au fur et à mesure que la course à la perfection de la technologie LLM se poursuit, un ensemble de recommandations - dont un nouveau décret de l'administration Biden, ainsi que la loi sur l'intelligence artificielle de l'UE - rend leur utilisation délicate en tout état de cause. Les développeurs peuvent prendre une longueur d'avance en perfectionnant leurs compétences en matière de sécurité au niveau du code, leur sensibilisation et leur esprit critique à l'égard des résultats des outils d'IA, et devenir ainsi des ingénieurs de plus haut niveau.
Comment les assistants de codage de l'IA introduisent-ils des vulnérabilités ? Jouez à notre NOUVELLE mission publique et voyez par vous-même !
Exemple : Scripting intersite (XSS) dans "ChatterGPT".
Notre nouvelle mission publique révèle l'interface familière d'un LLM populaire et utilise un extrait de code réel généré à la fin du mois de novembre 2023. Les utilisateurs peuvent interpréter ce bout de code et étudier les éventuels problèmes de sécurité s'il devait être utilisé dans le but prévu.
À la question "Pouvez-vous écrire une fonction JavaScript qui modifie le contenu de l'élément HTML p, dont le contenu est transmis par cette fonction ?", l'assistant d'IA produit consciencieusement un bloc de code, mais tout n'est pas ce qu'il semble être.
Avez-vous déjà relevé le défi ? Si ce n'est pas le cas, essayez maintenant avant de lire la suite.
... ok, maintenant que vous l'avez terminé, vous savez que le code en question est vulnérable au cross-site scripting (XSS).
Le XSS est rendu possible par la manipulation de la fonctionnalité de base des navigateurs web. Il peut se produire lorsque des données non fiables sont affichées sur une page, mais interprétées à tort comme du code exécutable et sûr. Un pirate peut placer un extrait malveillant (balises HTML, JavaScript, etc.) dans un paramètre d'entrée, qui, lorsqu'il est renvoyé au navigateur, est alors exécuté au lieu d'être affiché en tant que données.
Utiliser des assistants de codage IA en toute sécurité dans le développement de logiciels
Une récente enquête menée auprès d'équipes de développement en activité a révélé que la quasi-totalité d'entre elles - soit 96 % - ont commencé à utiliser des assistants d'IA dans leur flux de travail, 80 % d'entre elles contournant même les politiques de sécurité pour les conserver dans leur boîte à outils. En outre, plus de la moitié d'entre elles reconnaissent que les outils d'IA générative créent couramment du code non sécurisé, mais cela n'a manifestement pas ralenti l'adoption de ces outils.
Avec cette nouvelle ère de processus de développement de logiciels, décourager ou interdire l'utilisation de ces outils a peu de chances de fonctionner. Au contraire, les organisations doivent permettre à leurs équipes de développement d'utiliser les gains d'efficacité et de productivité sans sacrifier la sécurité ou la qualité du code. Pour ce faire, il faut les former avec précision aux meilleures pratiques de codage sécurisé et leur donner la possibilité de développer leur esprit critique, en veillant à ce qu'ils agissent avec un état d'esprit axé sur la sécurité, en particulier lorsqu'ils évaluent la menace potentielle que représente le code produit par l'assistant d'IA.
Pour en savoir plus
Pour les XSS en général, consultez notre guide complet.
Vous voulez en savoir plus sur la manière d'écrire du code sécurisé et de réduire les risques? Essayez gratuitement notre défi d'injection XSS.
Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.
Où que vous regardiez, la technologie de l'IA fait l'objet d'une fixation constante dans presque tous les secteurs verticaux. Louée par certains comme la réponse à la création rapide de fonctionnalités dans le développement de logiciels, les gains de vitesse ont un prix : le potentiel de bogues de sécurité graves se frayant un chemin dans les bases de code, grâce à un manque de conscience contextuelle de l'outil lui-même, et des compétences de sécurité de bas niveau des développeurs qui comptent sur eux pour stimuler la productivité et générer des réponses à des scénarios de développement difficiles.
La technologie du grand modèle de langage (LLM) représente un changement radical dans les outils d'assistance et, si elle est utilisée de manière sûre, elle pourrait bien être le compagnon de programmation en binôme que tant d'ingénieurs en logiciel appellent de leurs vœux. Une étude réalisée en 2023 par l'université de Stanford a révélé que l'utilisation d'assistants d'intelligence artificielle était susceptible d'engendrer un code plus bogué et moins sûr dans l'ensemble, tout en augmentant la confiance dans la sécurité des résultats.
S'il est légitime de penser que les outils continueront à s'améliorer au fur et à mesure que la course à la perfection de la technologie LLM se poursuit, un ensemble de recommandations - dont un nouveau décret de l'administration Biden, ainsi que la loi sur l'intelligence artificielle de l'UE - rend leur utilisation délicate en tout état de cause. Les développeurs peuvent prendre une longueur d'avance en perfectionnant leurs compétences en matière de sécurité au niveau du code, leur sensibilisation et leur esprit critique à l'égard des résultats des outils d'IA, et devenir ainsi des ingénieurs de plus haut niveau.
Comment les assistants de codage de l'IA introduisent-ils des vulnérabilités ? Jouez à notre NOUVELLE mission publique et voyez par vous-même !
Exemple : Scripting intersite (XSS) dans "ChatterGPT".
Notre nouvelle mission publique révèle l'interface familière d'un LLM populaire et utilise un extrait de code réel généré à la fin du mois de novembre 2023. Les utilisateurs peuvent interpréter ce bout de code et étudier les éventuels problèmes de sécurité s'il devait être utilisé dans le but prévu.
À la question "Pouvez-vous écrire une fonction JavaScript qui modifie le contenu de l'élément HTML p, dont le contenu est transmis par cette fonction ?", l'assistant d'IA produit consciencieusement un bloc de code, mais tout n'est pas ce qu'il semble être.
Avez-vous déjà relevé le défi ? Si ce n'est pas le cas, essayez maintenant avant de lire la suite.
... ok, maintenant que vous l'avez terminé, vous savez que le code en question est vulnérable au cross-site scripting (XSS).
Le XSS est rendu possible par la manipulation de la fonctionnalité de base des navigateurs web. Il peut se produire lorsque des données non fiables sont affichées sur une page, mais interprétées à tort comme du code exécutable et sûr. Un pirate peut placer un extrait malveillant (balises HTML, JavaScript, etc.) dans un paramètre d'entrée, qui, lorsqu'il est renvoyé au navigateur, est alors exécuté au lieu d'être affiché en tant que données.
Utiliser des assistants de codage IA en toute sécurité dans le développement de logiciels
Une récente enquête menée auprès d'équipes de développement en activité a révélé que la quasi-totalité d'entre elles - soit 96 % - ont commencé à utiliser des assistants d'IA dans leur flux de travail, 80 % d'entre elles contournant même les politiques de sécurité pour les conserver dans leur boîte à outils. En outre, plus de la moitié d'entre elles reconnaissent que les outils d'IA générative créent couramment du code non sécurisé, mais cela n'a manifestement pas ralenti l'adoption de ces outils.
Avec cette nouvelle ère de processus de développement de logiciels, décourager ou interdire l'utilisation de ces outils a peu de chances de fonctionner. Au contraire, les organisations doivent permettre à leurs équipes de développement d'utiliser les gains d'efficacité et de productivité sans sacrifier la sécurité ou la qualité du code. Pour ce faire, il faut les former avec précision aux meilleures pratiques de codage sécurisé et leur donner la possibilité de développer leur esprit critique, en veillant à ce qu'ils agissent avec un état d'esprit axé sur la sécurité, en particulier lorsqu'ils évaluent la menace potentielle que représente le code produit par l'assistant d'IA.
Pour en savoir plus
Pour les XSS en général, consultez notre guide complet.
Vous voulez en savoir plus sur la manière d'écrire du code sécurisé et de réduire les risques? Essayez gratuitement notre défi d'injection XSS.
Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Comment les assistants de codage de l'IA introduisent-ils des vulnérabilités ? Jouez à notre NOUVELLE mission publique et voyez par vous-même ! Cette mission révèle l'interface familière d'un LLM populaire et utilise un extrait de code réel généré à la fin du mois de novembre 2023. Les utilisateurs peuvent interpréter ce bout de code et étudier les éventuels problèmes de sécurité s'il était utilisé dans le but prévu.
Essayez la missionLaura Verheyde est développeuse de logiciels à l'adresse Secure Code Warrior . Elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Missions et Coding labs.
Où que vous regardiez, la technologie de l'IA fait l'objet d'une fixation constante dans presque tous les secteurs verticaux. Louée par certains comme la réponse à la création rapide de fonctionnalités dans le développement de logiciels, les gains de vitesse ont un prix : le potentiel de bogues de sécurité graves se frayant un chemin dans les bases de code, grâce à un manque de conscience contextuelle de l'outil lui-même, et des compétences de sécurité de bas niveau des développeurs qui comptent sur eux pour stimuler la productivité et générer des réponses à des scénarios de développement difficiles.
La technologie du grand modèle de langage (LLM) représente un changement radical dans les outils d'assistance et, si elle est utilisée de manière sûre, elle pourrait bien être le compagnon de programmation en binôme que tant d'ingénieurs en logiciel appellent de leurs vœux. Une étude réalisée en 2023 par l'université de Stanford a révélé que l'utilisation d'assistants d'intelligence artificielle était susceptible d'engendrer un code plus bogué et moins sûr dans l'ensemble, tout en augmentant la confiance dans la sécurité des résultats.
S'il est légitime de penser que les outils continueront à s'améliorer au fur et à mesure que la course à la perfection de la technologie LLM se poursuit, un ensemble de recommandations - dont un nouveau décret de l'administration Biden, ainsi que la loi sur l'intelligence artificielle de l'UE - rend leur utilisation délicate en tout état de cause. Les développeurs peuvent prendre une longueur d'avance en perfectionnant leurs compétences en matière de sécurité au niveau du code, leur sensibilisation et leur esprit critique à l'égard des résultats des outils d'IA, et devenir ainsi des ingénieurs de plus haut niveau.
Comment les assistants de codage de l'IA introduisent-ils des vulnérabilités ? Jouez à notre NOUVELLE mission publique et voyez par vous-même !
Exemple : Scripting intersite (XSS) dans "ChatterGPT".
Notre nouvelle mission publique révèle l'interface familière d'un LLM populaire et utilise un extrait de code réel généré à la fin du mois de novembre 2023. Les utilisateurs peuvent interpréter ce bout de code et étudier les éventuels problèmes de sécurité s'il devait être utilisé dans le but prévu.
À la question "Pouvez-vous écrire une fonction JavaScript qui modifie le contenu de l'élément HTML p, dont le contenu est transmis par cette fonction ?", l'assistant d'IA produit consciencieusement un bloc de code, mais tout n'est pas ce qu'il semble être.
Avez-vous déjà relevé le défi ? Si ce n'est pas le cas, essayez maintenant avant de lire la suite.
... ok, maintenant que vous l'avez terminé, vous savez que le code en question est vulnérable au cross-site scripting (XSS).
Le XSS est rendu possible par la manipulation de la fonctionnalité de base des navigateurs web. Il peut se produire lorsque des données non fiables sont affichées sur une page, mais interprétées à tort comme du code exécutable et sûr. Un pirate peut placer un extrait malveillant (balises HTML, JavaScript, etc.) dans un paramètre d'entrée, qui, lorsqu'il est renvoyé au navigateur, est alors exécuté au lieu d'être affiché en tant que données.
Utiliser des assistants de codage IA en toute sécurité dans le développement de logiciels
Une récente enquête menée auprès d'équipes de développement en activité a révélé que la quasi-totalité d'entre elles - soit 96 % - ont commencé à utiliser des assistants d'IA dans leur flux de travail, 80 % d'entre elles contournant même les politiques de sécurité pour les conserver dans leur boîte à outils. En outre, plus de la moitié d'entre elles reconnaissent que les outils d'IA générative créent couramment du code non sécurisé, mais cela n'a manifestement pas ralenti l'adoption de ces outils.
Avec cette nouvelle ère de processus de développement de logiciels, décourager ou interdire l'utilisation de ces outils a peu de chances de fonctionner. Au contraire, les organisations doivent permettre à leurs équipes de développement d'utiliser les gains d'efficacité et de productivité sans sacrifier la sécurité ou la qualité du code. Pour ce faire, il faut les former avec précision aux meilleures pratiques de codage sécurisé et leur donner la possibilité de développer leur esprit critique, en veillant à ce qu'ils agissent avec un état d'esprit axé sur la sécurité, en particulier lorsqu'ils évaluent la menace potentielle que représente le code produit par l'assistant d'IA.
Pour en savoir plus
Pour les XSS en général, consultez notre guide complet.
Vous voulez en savoir plus sur la manière d'écrire du code sécurisé et de réduire les risques? Essayez gratuitement notre défi d'injection XSS.
Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.
Table des matières
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
.png)
.png)
Le pouvoir de la marque dans l'AppSec DevSec DevSecOps (Qu'est-ce qu'un acronyme ?)
Dans le domaine de l'AppSec, l'impact durable d'un programme exige plus que de la technologie : il faut une marque forte. Une identité forte garantit que vos initiatives trouvent un écho et suscitent un engagement durable au sein de votre communauté de développeurs.
Ressources pour vous aider à démarrer
OWASP Top 10 : 2025 - Quoi de neuf et comment Secure Code Warrior vous aide à rester aligné
Découvrez ce qui a changé dans le Top 10 de l'OWASP : 2025 et comment Secure Code Warrior facilite la transition grâce à la mise à jour des quêtes, des Courses et des informations destinées aux développeurs.
Adoptez rapidement l'IA agentique dans le développement de logiciels ! (Spoiler : Vous ne devriez probablement pas.)
Le monde de la cybersécurité va-t-il trop vite en matière d'IA agentique ? L'avenir de la sécurité de l'IA est là, et il est temps pour les experts de passer de la réflexion à la réalité.
Résoudre la crise de la visibilité : comment l'agent de confiance comble le fossé entre l'apprentissage et le code
Trust Agent de Secure Code Warrior résout la crise du codage sécurisé en validant les compétences des développeurs à chaque livraison. Il découvre tous les contributeurs et automatise la gouvernance dans votre flux de travail de développement.
Récupérer la pensée critique dans le développement de logiciels sécurisés assistés par l'IA
Le débat sur l'IA ne porte pas sur l'utilisation, mais sur l'application. Découvrez comment concilier les gains de productivité de l'IA et une sécurité solide en vous appuyant sur des développeurs qui comprennent parfaitement leur code.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
