Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Les chercheurs de Microsoft ont tendu un piège, et l'ont vu se refermer. Dans un dépôt de test, ils ont relié l'action GitHub de Claude Code, un assistant IA capable de lire les demandes de revue de code et d'y donner suite, puis ils ont ouvert une issue truffée d'instructions dissimulées. L'agent a obéi. Il a localisé le fichier où le système de build conserve ses secrets, en a extrait une clé d'API Anthropic active, puis l'a maquillée assez habilement pour franchir deux contrôles de sécurité distincts. Aucun mot de passe forcé, aucune faille logicielle au sens classique. L'attaquant s'est contenté d'écrire un commentaire.
Si l'affaire compte, c'est à cause de l'endroit où vit cet assistant. Il s'exécute au cœur du pipeline qui compile et livre vos logiciels, entouré des identifiants dont ce pipeline a besoin pour fonctionner. Dès lors qu'on apprend à ce pipeline à exécuter les consignes d'inconnus, une seule phrase devient une porte d'entrée.
Le montage est devenu banal. De nombreuses équipes greffent un agent IA sur GitHub Actions (l'automatisation intégrée de GitHub, qui déclenche des tâches dès qu'une personne ouvre une issue, laisse un commentaire ou soumet une pull request) pour trier les rapports de bugs ou relire le code. L'action Claude Code d'Anthropic est l'un de ces agents. Elle lit l'issue ou la pull request, y compris le texte rédigé par des personnes extérieures à l'équipe, et décide de la marche à suivre. Cette ouverture fait tout l'intérêt de l'outil. Elle fait aussi tout le problème.
Anthropic avait anticipé le risque et verrouillé l'outil d'exécution de commandes, en l'enfermant dans un bac à sable qui purge les secrets de l'environnement avant le moindre lancement. La faille repérée par Microsoft Threat Intelligence tient à un oubli : l'outil de lecture de fichiers, lui, n'a jamais été placé derrière ce même mur. Les chercheurs ont donc glissé une injection de prompt (des instructions cachées dans le contenu que l'IA consulte, et que le modèle exécute ensuite comme s'il s'agissait de ses propres consignes) à l'intérieur d'une issue GitHub. Pour contourner le réflexe de refus du modèle, ils ont déguisé la requête en banal « contrôle de conformité » et lui ont demandé de retrancher les sept premiers caractères de ce qu'il trouverait. Ce détail a tout changé : en supprimant le préfixe révélateur sk-ant-, il a empêché aussi bien le filtre de sécurité de Claude que le scanner de secrets de GitHub de reconnaître ce qui sortait. L'outil de lecture a alors ouvert /proc/self/environ, le fichier système qui contient les variables d'environnement d'un programme en cours d'exécution, et la clé non protégée s'y trouvait.
La clé corrigée est le moindre des enjeux. Dans la démonstration, la perte concrète se limitait à une clé d'API, mais le même runner héberge d'ordinaire les identifiants qui permettraient à un intrus d'agir en votre nom : le jeton GitHub, les accès au cloud, le jeton qui publie vos paquets au monde entier. Qu'un attaquant les atteigne, et le commentaire piégé cesse d'être une farce pour devenir une compromission de la chaîne d'approvisionnement, livrée à tous ceux qui installeront votre logiciel. Voilà ce qui change pour vos équipes. Si vous avez relié un agent IA à un workflow que des tiers peuvent déclencher, chaque issue, chaque pull request et chaque commentaire devient une entrée non fiable qui s'exécute à quelques centimètres de vos secrets. Le basculement de fond mérite d'être posé lors de votre prochaine revue d'ingénierie. Les chaînes d'intégration et de livraison continues (les pipelines CI/CD qui testent et publient le code automatiquement) ont été pensées pour dérouler des scripts figés et prévisibles. Or un agent IA brise cette hypothèse, car il traite le langage courant comme une instruction. Autrement dit, le langage naturel est devenu du code exécutable, et rares sont les pipelines conçus pour se défendre contre un paragraphe.
L'attaque a réussi non parce que l'IA a déraillé, mais parce qu'elle a fait exactement ce qu'on lui demandait, à la demande de la mauvaise personne. C'est la leçon inconfortable à emporter en réunion de sécurité. À partir du moment où un agent agit sur un texte que n'importe qui peut écrire en ligne, il faut traiter chaque commentaire comme une commande potentielle. Le confort d'un assistant qui lit vos issues et corrige votre code est bien réel, tout comme le fait qu'il lit l'issue d'un attaquant avec exactement la même confiance. Une question vaut la peine d'être posée avant de brancher le prochain outil IA sur votre pipeline. Si le commentaire d'un inconnu peut atteindre nos secrets de build, qu'est-ce qui, dans notre configuration, l'empêche de repartir avec ?


