Le code généré par l’IA présente des risques pour la sécurité
Veracode a dévoilé son rapport 2025 sur la sécurité du code GenAI, révélant des failles de sécurité critiques dans le code généré par l’IA. L’étude a analysé 80 tâches de codage curatives sur plus de 100 grands modèles de langage (LLM), révélant que si l’IA produit un code fonctionnel, elle introduit des vulnérabilités en matière de sécurité dans 45 % des cas.
L’étude montre qu’en dépit des progrès réalisés en matière de code généré par l’IA et de la capacité des LLM à générer un code syntaxiquement correct, les performances en matière de sécurité n’ont pas suivi et sont restées inchangées au fil du temps. Autre tendance préoccupante : lorsqu’ils ont le choix entre des méthodes de codage sécurisées et non sécurisées, les modèles GenAI optent pour l’option non sécurisée dans 45 % des cas.
« L’essor du vibe coding, où les développeurs s’appuient sur l’IA pour générer du code, généralement sans définir explicitement les exigences de sécurité, représente un changement fondamental dans la façon dont les logiciels sont construits », a déclaré Jens Wessling, directeur de la technologie chez Veracode. « La principale préoccupation liée à cette tendance est que les développeurs n’ont pas besoin de spécifier les contraintes de sécurité pour obtenir le code qu’ils souhaitent, laissant effectivement les décisions de codage sécurisé aux LLM. Nos recherches révèlent que les modèles GenAI font les mauvais choix près de la moitié du temps, et cela ne s’améliore pas. »
L’IA permet aux attaquants d’identifier et d’exploiter les failles de sécurité plus rapidement et plus efficacement. Les outils alimentés par l’IA peuvent analyser les systèmes à grande échelle, identifier les faiblesses et même générer des codes d’exploitation avec un minimum de données humaines. Ces outils abaissent la barrière à l’entrée pour les attaquants moins qualifiés et augmentent la vitesse et la sophistication des attaques, ce qui représente une menace importante pour les défenses de sécurité traditionnelles. Non seulement les vulnérabilités augmentent, mais la capacité à les exploiter devient de plus en plus facile.
Pour évaluer les propriétés de sécurité du code généré par les LLM, Veracode a conçu un ensemble de 80 tâches de complétion de code présentant un potentiel connu de vulnérabilités de sécurité selon le système MITRE Common Weakness Enumeration (CWE), une classification standard des faiblesses logicielles qui peuvent se transformer en vulnérabilités. Les tâches ont incité plus de 100 LLM à compléter automatiquement un bloc de code de manière sécurisée ou non, que l’équipe de recherche a ensuite analysé à l’aide de l’analyse statique Veracode. Dans 45 % de tous les cas de test, les LLM ont introduit des vulnérabilités classées dans le Top 10 de l’OWASP (Open Web Application Security Project) – les risques les plus critiques pour la sécurité des applications web.
Veracode a constaté que Java était le langage le plus risqué pour le code généré par l’IA, avec un taux d’échec de sécurité supérieur à 70 %. D’autres langages importants, comme Python, C# et JavaScript, présentent toujours un risque significatif, avec des taux d’échec compris entre 38 % et 45 %. L’étude a également révélé que les LLM n’ont pas réussi à sécuriser le code contre les scripts intersites (CWE-80) et l’injection de logs (CWE-117) dans 86 % et 88 % des cas, respectivement.
« Malgré les progrès réalisés dans le domaine du développement assisté par l’IA, il est clair que la sécurité n’a pas suivi », a déclaré M. Wessling. « Nos recherches montrent que les modèles s’améliorent pour coder avec précision, mais pas en matière de sécurité. Nous avons également constaté que les grands modèles ne sont pas beaucoup plus performants que les petits, ce qui suggère qu’il s’agit d’un problème systémique plutôt que d’un problème de mise à l’échelle du LLM.
Gérer les risques à l’aide d’un code d’IA
Si les pratiques de développement de la GenAI, comme le vibe coding, accélèrent la productivité, elles amplifient également les risques. Veracode souligne que les organisations ont besoin d’un programme complet de gestion des risques qui prévient les vulnérabilités avant qu’elles n’atteignent la production – en intégrant des contrôles de qualité du code et des correctifs automatisés directement dans le flux de travail de développement. Alors que les organisations exploitent de plus en plus le code généré par l’IA, Veracode recommande de prendre les mesures proactives suivantes pour garantir la sécurité :
- Intégrer des outils alimentés par l’IA comme Veracode Fix dans les flux de travail des développeurs pour remédier aux risques de sécurité en temps réel.
- Tirer parti de l’analyse statique pour détecter les failles de manière précoce et automatique, afin d’empêcher le code vulnérable de progresser dans les pipelines de développement.
- Intégrer la sécurité dans les flux de travail des agents pour automatiser la conformité aux politiques et garantir que les agents d’intelligence artificielle appliquent des normes de codage sécurisées.
- Utiliser l’analyse de la composition des logiciels (SCA) pour vous assurer que le code généré par l’IA n’introduit pas de vulnérabilités dues à des dépendances tierces et à des composants open-source.
- Adopter des conseils de remédiation sur mesure pilotés par l’IA pour donner aux développeurs des instructions de correction précises et les former à l’utilisation efficace des recommandations.
- Déployer un pare-feu de paquets pour détecter et bloquer automatiquement les paquets malveillants, les vulnérabilités et les violations de règles.
« Les assistants de codage IA et les flux de travail agentiques représentent l’avenir du développement logiciel, et ils continueront d’évoluer à un rythme rapide », conclut M. Wessling. « Le défi auquel est confrontée chaque organisation est de s’assurer que la sécurité évolue parallèlement à ces nouvelles capacités. La sécurité ne peut pas être une réflexion après coup si nous voulons éviter l’accumulation d’une dette de sécurité massive. »
Le rapport complet sur la sécurité du code 2025 de GenAI peut être téléchargé à l’adresse suivante : www.veracode.com.
Si vous avez apprécié cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à :
