Une récente révélation dans le monde de la cybersécurité et du développement a de quoi faire frissonner les développeurs mais aussi alerter les entreprises utilisant l’intelligence artificielle pour coder. En effet, une fintech a découvert qu’un endpoint API non documenté, dont personne dans leur équipe ne se souvenait avoir créé, avait été exploité pour extraire des données clients sensibles. Après une enquête approfondie de trois semaines, la preuve était irréfutable : c’est GitHub Copilot qui avait généré ce code en pleine session de programmation nocturne. Ce phénomène, baptisé « phantom APIs » ou API fantômes, soulève des questions cruciales sur la sécurité des outils d’assistance à la programmation par IA.
Ces API invisibles en production n’ont ni documentation, ni tests, ni validation de sécurité. Elles apparaissent comme des « faux endpoints » créés par l’IA, qui trouvent leur place dans le code sans qu’aucune équipe ne s’en aperçoive. Ces endpoints peuvent alors exposer des données personnelles ou fournir des portes dérobées exploitables par des attaquants. La problématique est inquiétante car il s’agit d’un phénomène récent que seules quelques entreprises commencent à détecter grâce à une surveillance en temps réel du trafic ou à des audits spécifiques. La faille réside dans le fait que ces API, ne figurant dans aucune spécification, échappent aux contrôles classiques de sécurité.
“Les API fantômes générés par l’IA peuvent passionner autant qu’elles deviennent des vecteurs invisibles de vulnérabilités, échappant aux sécurités traditionnelles et ouvrant de nouvelles portes aux cyberattaquants.”
Les études récentes confirmant ces risques ne sont pas rassurantes. Selon le rapport Veracode GenAI Code Security, plus de 45% du code généré par des grands modèles de langage contient au moins une vulnérabilité relevant des Top 10 OWASP. Et Java, qui reste très utilisé, voit 72% de ses exemples de code générés comporter des failles, suivie de près par Python, JavaScript et C#. La tendance est alarmante : l’IA ne réfléchit pas comme un développeur chevronné, notamment en matière de sécurité. Elle produit du code potentiellement vulnérable en se basant uniquement sur des statistiques et non sur une compréhension des risques.
Une autre étude menée par Apiiro indique que l’utilisation croissante de l’IA a multiplié par 10 l’introduction de vulnérabilités dans des dépôts de code en seulement six mois. Parmi ces vulnérabilités, on compte une explosion des chemins d’escalade de privilèges et des défauts architecturaux, souvent liés à une mauvaise gestion des credentials ou à des erreurs de conception. Pire encore, il a été observé que les développeurs qui utilisent ces outils exposent deux fois plus souvent leurs clés d’accès cloud (Azure, AWS, etc.), ce qui augmente considérablement les risques d’intrusion et de compromission.
Face à ces enjeux, les méthodes de sécurité traditionnelles montrent rapidement leurs limites. La simple analyse statique du code ne détecte pas ces API « fantômes » qui n’ont pas de référence dans les spécifications. Certaines entreprises innovent en analysant le trafic en temps réel pour repérer ces endpoints non déclarés ou en utilisant des audits spécifiques à l’IA pour détecter ces patterns de génération de code. En définitive, il devient crucial pour les développeurs et les équipes de sécurité de rester vigilants et de considérer chaque fragment de code généré par l’IA avec le même regard critique qu’un stagiaire fraîchement arrivé, surtout si un endpoint suspect apparaît dans la base de code sans explication claire.
