{"id":483867,"date":"2025-07-31T09:05:39","date_gmt":"2025-07-31T07:05:39","guid":{"rendered":"https:\/\/www.ecinews.fr\/?p=483867"},"modified":"2025-07-30T21:12:19","modified_gmt":"2025-07-30T19:12:19","slug":"le-code-genere-par-lia-presente-des-risques-pour-la-securite","status":"publish","type":"post","link":"https:\/\/www.ecinews.fr\/fr\/le-code-genere-par-lia-presente-des-risques-pour-la-securite\/","title":{"rendered":"Le code g\u00e9n\u00e9r\u00e9 par l’IA pr\u00e9sente des risques pour la s\u00e9curit\u00e9"},"content":{"rendered":"

Veracode a d\u00e9voil\u00e9 son rapport 2025 sur la s\u00e9curit\u00e9 du code GenAI, r\u00e9v\u00e9lant des failles de s\u00e9curit\u00e9 critiques dans le code g\u00e9n\u00e9r\u00e9 par l’IA. L’\u00e9tude a analys\u00e9 80 t\u00e2ches de codage curatives sur plus de 100 grands mod\u00e8les de langage (LLM), r\u00e9v\u00e9lant que si l’IA produit un code fonctionnel, elle introduit des vuln\u00e9rabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 dans 45 % des cas.<\/h2>\n

L’\u00e9tude montre qu’en d\u00e9pit des progr\u00e8s r\u00e9alis\u00e9s en mati\u00e8re de code g\u00e9n\u00e9r\u00e9 par l’IA et de la capacit\u00e9 des LLM \u00e0 g\u00e9n\u00e9rer un code syntaxiquement correct, les performances en mati\u00e8re de s\u00e9curit\u00e9 n’ont pas suivi et sont rest\u00e9es inchang\u00e9es au fil du temps. Autre tendance pr\u00e9occupante : lorsqu’ils ont le choix entre des m\u00e9thodes de codage s\u00e9curis\u00e9es et non s\u00e9curis\u00e9es, les mod\u00e8les GenAI optent pour l’option non s\u00e9curis\u00e9e dans 45 % des cas.<\/p>\n

\u00ab\u00a0L’essor du vibe coding, o\u00f9 les d\u00e9veloppeurs s’appuient sur l’IA pour g\u00e9n\u00e9rer du code, g\u00e9n\u00e9ralement sans d\u00e9finir explicitement les exigences de s\u00e9curit\u00e9, repr\u00e9sente un changement fondamental dans la fa\u00e7on dont les logiciels sont construits\u00a0\u00bb, a d\u00e9clar\u00e9 Jens Wessling, directeur de la technologie chez Veracode. \u00ab\u00a0La principale pr\u00e9occupation li\u00e9e \u00e0 cette tendance est que les d\u00e9veloppeurs n’ont pas besoin de sp\u00e9cifier les contraintes de s\u00e9curit\u00e9 pour obtenir le code qu’ils souhaitent, laissant effectivement les d\u00e9cisions de codage s\u00e9curis\u00e9 aux LLM. Nos recherches r\u00e9v\u00e8lent que les mod\u00e8les GenAI font les mauvais choix pr\u00e8s de la moiti\u00e9 du temps, et cela ne s’am\u00e9liore pas.\u00a0\u00bb<\/p>\n

L’IA permet aux attaquants d’identifier et d’exploiter les failles de s\u00e9curit\u00e9 plus rapidement et plus efficacement. Les outils aliment\u00e9s par l’IA peuvent analyser les syst\u00e8mes \u00e0 grande \u00e9chelle, identifier les faiblesses et m\u00eame g\u00e9n\u00e9rer des codes d’exploitation avec un minimum de donn\u00e9es humaines. Ces outils abaissent la barri\u00e8re \u00e0 l’entr\u00e9e pour les attaquants moins qualifi\u00e9s et augmentent la vitesse et la sophistication des attaques, ce qui repr\u00e9sente une menace importante pour les d\u00e9fenses de s\u00e9curit\u00e9 traditionnelles. Non seulement les vuln\u00e9rabilit\u00e9s augmentent, mais la capacit\u00e9 \u00e0 les exploiter devient de plus en plus facile.<\/p>\n

Pour \u00e9valuer les propri\u00e9t\u00e9s de s\u00e9curit\u00e9 du code g\u00e9n\u00e9r\u00e9 par les LLM, Veracode a con\u00e7u un ensemble de 80 t\u00e2ches de compl\u00e9tion de code pr\u00e9sentant un potentiel connu de vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 selon le syst\u00e8me MITRE Common Weakness Enumeration (CWE), une classification standard des faiblesses logicielles qui peuvent se transformer en vuln\u00e9rabilit\u00e9s. Les t\u00e2ches ont incit\u00e9 plus de 100 LLM \u00e0 compl\u00e9ter automatiquement un bloc de code de mani\u00e8re s\u00e9curis\u00e9e ou non, que l’\u00e9quipe de recherche a ensuite analys\u00e9 \u00e0 l’aide de l’analyse statique Veracode. Dans 45 % de tous les cas de test, les LLM ont introduit des vuln\u00e9rabilit\u00e9s class\u00e9es dans le Top 10 de l’OWASP (Open Web Application Security Project) – les risques les plus critiques pour la s\u00e9curit\u00e9 des applications web.<\/p>\n

Veracode a constat\u00e9 que Java \u00e9tait le langage le plus risqu\u00e9 pour le code g\u00e9n\u00e9r\u00e9 par l’IA, avec un taux d’\u00e9chec de s\u00e9curit\u00e9 sup\u00e9rieur \u00e0 70 %. D’autres langages importants, comme Python, C# et JavaScript, pr\u00e9sentent toujours un risque significatif, avec des taux d’\u00e9chec compris entre 38 % et 45 %. L’\u00e9tude a \u00e9galement r\u00e9v\u00e9l\u00e9 que les LLM n’ont pas r\u00e9ussi \u00e0 s\u00e9curiser le code contre les scripts intersites (CWE-80) et l’injection de logs (CWE-117) dans 86 % et 88 % des cas, respectivement.<\/p>\n

\u00ab\u00a0Malgr\u00e9 les progr\u00e8s r\u00e9alis\u00e9s dans le domaine du d\u00e9veloppement assist\u00e9 par l’IA, il est clair que la s\u00e9curit\u00e9 n’a pas suivi\u00a0\u00bb, a d\u00e9clar\u00e9 M. Wessling. \u00ab\u00a0Nos recherches montrent que les mod\u00e8les s’am\u00e9liorent pour coder avec pr\u00e9cision, mais pas en mati\u00e8re de s\u00e9curit\u00e9. Nous avons \u00e9galement constat\u00e9 que les grands mod\u00e8les ne sont pas beaucoup plus performants que les petits, ce qui sugg\u00e8re qu’il s’agit d’un probl\u00e8me syst\u00e9mique plut\u00f4t que d’un probl\u00e8me de mise \u00e0 l’\u00e9chelle du LLM.<\/p>\n

 <\/p>\n

G\u00e9rer les risques \u00e0 l’aide d’un code d’IA<\/h3>\n

Si les pratiques de d\u00e9veloppement de la GenAI, comme le vibe coding, acc\u00e9l\u00e8rent la productivit\u00e9, elles amplifient \u00e9galement les risques. Veracode souligne que les organisations ont besoin d’un programme complet de gestion des risques qui pr\u00e9vient les vuln\u00e9rabilit\u00e9s avant qu’elles n’atteignent la production – en int\u00e9grant des contr\u00f4les de qualit\u00e9 du code et des correctifs automatis\u00e9s directement dans le flux de travail de d\u00e9veloppement. Alors que les organisations exploitent de plus en plus le code g\u00e9n\u00e9r\u00e9 par l’IA, Veracode recommande de prendre les mesures proactives suivantes pour garantir la s\u00e9curit\u00e9 :<\/p>\n