{"id":158234,"date":"2025-09-15T09:12:33","date_gmt":"2025-09-15T16:12:33","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=158234"},"modified":"2025-09-22T11:47:12","modified_gmt":"2025-09-22T18:47:12","slug":"code-assistant-llms","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/","title":{"rendered":"Les assistants de codage IA sous la loupe\u00a0: risques et abus"},"content":{"rendered":"<h2><a id=\"post-158234-_heading=h.d367u2virfzo\"><\/a>R\u00e9sum\u00e9<\/h2>\n<p>Nous avons r\u00e9cemment examin\u00e9 les assistants de codage IA int\u00e9gr\u00e9s aux environnements de d\u00e9veloppement (IDE) via des plug-in, \u00e0 l\u2019instar de GitHub\u00a0Copilot. Nous avons constat\u00e9 que ces assistants peuvent \u00eatre d\u00e9tourn\u00e9s par les utilisateurs ou des acteurs malicieux via des fonctionnalit\u00e9s comme le chat, l\u2019auto-compl\u00e9tion ou la g\u00e9n\u00e9ration de tests unitaires, entra\u00eenant l\u2019insertion de portes d\u00e9rob\u00e9es, la fuite d\u2019informations sensibles ou la cr\u00e9ation de contenus pr\u00e9judiciables.<\/p>\n<p>Les fonctionnalit\u00e9s d\u2019attachement de contexte peuvent \u00eatre vuln\u00e9rables \u00e0 l\u2019<a href=\"https:\/\/cetas.turing.ac.uk\/publications\/indirect-prompt-injection-generative-ais-greatest-security-flaw\" target=\"_blank\" rel=\"noopener\">injection indirecte de prompts<\/a>. Dans ce type d\u2019attaque, un acteur de la menace corrompt d\u2019abord une source de donn\u00e9es publique ou tierce en y ins\u00e9rant des prompts sp\u00e9cialement con\u00e7us. Lorsqu\u2019un utilisateur fournit accidentellement ces donn\u00e9es contamin\u00e9es \u00e0 l\u2019assistant, les prompts malveillants prennent le contr\u00f4le, pouvant amener la victime \u00e0 ex\u00e9cuter une porte d\u00e9rob\u00e9e, ins\u00e9rer du code malveillant dans un projet existant ou divulguer des informations sensibles.<\/p>\n<p>Par ailleurs, l\u2019usage abusif des fonctions d\u2019auto-compl\u00e9tion peut \u00e9galement conduire \u00e0 la g\u00e9n\u00e9ration de contenus malveillants, de mani\u00e8re similaire aux contournements de mod\u00e9ration r\u00e9cemment observ\u00e9s sur <a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/new-jailbreaks-manipulate-github-copilot\" target=\"_blank\" rel=\"noopener\">GitHub Copilot<\/a>.<\/p>\n<p>Certains assistants IA invoquent directement leur mod\u00e8le de base depuis le client, exposant les mod\u00e8les \u00e0 des risques suppl\u00e9mentaires, comme l\u2019usage abusif par des utilisateurs ou des attaquants externes cherchant \u00e0 <a href=\"https:\/\/thehackernews.com\/2024\/05\/researchers-uncover-llmjacking-scheme.html\" target=\"_blank\" rel=\"noopener\">vendre l\u2019acc\u00e8s aux mod\u00e8les LLM<\/a>.<\/p>\n<p>Ces vuln\u00e9rabilit\u00e9s concernent potentiellement de nombreux assistants de codage LLM. Les d\u00e9veloppeurs doivent mettre en \u0153uvre des pratiques de s\u00e9curit\u00e9 standard pour prot\u00e9ger leurs environnements et effectuer des revues de code approfondies tout en contr\u00f4lant les sorties des LLM afin de s\u00e9curiser le d\u00e9veloppement IA face aux menaces \u00e9volutives.<\/p>\n<p>En cas de compromission suspect\u00e9e ou de probl\u00e8me urgent, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a>.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces \u00e9voqu\u00e9es ci-dessus gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Cloud<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/What-is-Cortex-Cloud-Identity-Security\" target=\"_blank\" rel=\"noopener\">Cortex Cloud Identity Security<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/prisma-ai-runtime-security\" target=\"_blank\" rel=\"noopener\">Prisma AIRS<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/ai-security-assessment\" target=\"_blank\" rel=\"noopener\">\u00c9valuation de la s\u00e9curit\u00e9 de l\u2019IA<\/a> d\u2019Unit\u00a042<\/li>\n<\/ul>\n<table style=\"width: 102.215%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Th\u00e9matiques en lien avec l\u2019Unit\u00a042<\/b><\/td>\n<td style=\"width: 229.982%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/genai-fr\/\" target=\"_blank\" rel=\"noopener\"><b>AI g\u00e9n\u00e9rative<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/llm-fr\/\" target=\"_blank\" rel=\"noopener\">LLMs<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-158234-_heading=h.m55z6q6sjfwi\"><\/a>Introduction\u00a0: la mont\u00e9e en puissance des assistants de codage\u00a0LLM<\/h2>\n<p>L\u2019adoption des outils d\u2019IA dans le d\u00e9veloppement progresse \u00e0 une vitesse fulgurante, port\u00e9e par des cas d\u2019usage allant de la g\u00e9n\u00e9ration de code au d\u00e9bogage. Mais derri\u00e8re cette mont\u00e9e en puissance, certains risques restent trop souvent sous-estim\u00e9s\u00a0: injection de prompts, d\u00e9tournement de mod\u00e8les et comportements inattendus.<\/p>\n<p>Selon l\u2019<a href=\"https:\/\/survey.stackoverflow.co\/2024\/ai#1-ai-tools-in-the-development-process\" target=\"_blank\" rel=\"noopener\">enqu\u00eate annuelle Stack Overflow 2024<\/a> a r\u00e9v\u00e9l\u00e9 que 76\u00a0% des d\u00e9veloppeurs interrog\u00e9s d\u00e9clarent utiliser ou pr\u00e9voient d\u2019utiliser des outils d\u2019IA dans leur travail. Parmi ceux qui utilisent actuellement des outils d\u2019IA, 82\u00a0% d\u00e9clarent s\u2019en servir pour \u00e9crire du code.<\/p>\n<p>Cette adoption massive des large languages models (LLM) a profond\u00e9ment transform\u00e9 la mani\u00e8re d\u2019aborder les t\u00e2ches de programmation.<\/p>\n<p>Int\u00e9gr\u00e9s d\u00e9sormais au c\u0153ur des environnements de d\u00e9veloppement modernes, les assistants exploitent le langage naturel pour interpr\u00e9ter l\u2019intention du d\u00e9veloppeur, g\u00e9n\u00e9rer des extraits de code et fournir des suggestions en temps r\u00e9el, r\u00e9duisant ainsi le temps et les efforts consacr\u00e9s au codage manuel. Certains de ces outils se distinguent par leur int\u00e9gration pouss\u00e9e aux bases de code existantes et leur capacit\u00e9 \u00e0 aider les d\u00e9veloppeurs \u00e0 naviguer dans des projets complexes.<\/p>\n<p>Mais cette r\u00e9volution s\u2019accompagne aussi de nouvelles menaces. Nos recherches montrent que des vuln\u00e9rabilit\u00e9s existent dans plusieurs IDE, mod\u00e8les et produits int\u00e9grant ces assistants LLM, exposant potentiellement les processus de d\u00e9veloppement \u00e0 des risques de s\u00e9curit\u00e9 majeurs.<\/p>\n<h2><a id=\"post-158234-_heading=h.96dxxhduoowp\"><\/a>Injection de prompts\u00a0: un examen d\u00e9taill\u00e9<\/h2>\n<h3><a id=\"post-158234-_heading=h.9vznr9epfr0s\"><\/a><strong>Vuln\u00e9rabilit\u00e9 de l\u2019injection indirecte de prompts<\/strong><\/h3>\n<p>Le c\u0153ur des vuln\u00e9rabilit\u00e9s li\u00e9es \u00e0 l\u2019injection de prompts r\u00e9side dans l\u2019incapacit\u00e9 d\u2019un mod\u00e8le \u00e0 distinguer de mani\u00e8re fiable entre les instructions syst\u00e8me (code) et les requ\u00eates utilisateur (donn\u00e9es). Ce m\u00e9lange de donn\u00e9es et de code a toujours \u00e9t\u00e9 un probl\u00e8me r\u00e9current en informatique, \u00e0 l\u2019origine de failles telles que les injections\u00a0SQL, les d\u00e9passements de m\u00e9moire tampon et les injections de commandes.<\/p>\n<p>Les LLM font face \u00e0 un risque similaire puisqu\u2019ils traitent de la m\u00eame mani\u00e8re instructions et entr\u00e9es utilisateur. Ce comportement les rend vuln\u00e9rables \u00e0 l\u2019<a href=\"https:\/\/genai.owasp.org\/llmrisk\/llm01-prompt-injection\/\" target=\"_blank\" rel=\"noopener\">injection de prompts<\/a>, o\u00f9 des attaquants \u00e9laborent des entr\u00e9es capables de manipuler les LLM afin de produire des comportements non pr\u00e9vus.<\/p>\n<p>Les prompts syst\u00e8me sont des instructions qui guident le comportement de l\u2019IA, d\u00e9finissant son r\u00f4le et les limites \u00e9thiques dans une application. Les entr\u00e9es utilisateur sont quant \u00e0 elles les questions, commandes ou donn\u00e9es externes (documents, contenus web, API, etc.) que l\u2019on fournit au LLM. Comme celui-ci re\u00e7oit toutes ces donn\u00e9es sous forme de texte en langage naturel, un attaquant peut cr\u00e9er des entr\u00e9es malveillantes imitant ou contournant les prompts syst\u00e8me, neutralisant les garde-fous et influen\u00e7ant les r\u00e9ponses du mod\u00e8le.<\/p>\n<p>\u200bCette absence de distinction claire entre instructions et donn\u00e9es ouvre \u00e9galement la voie \u00e0 l\u2019<a href=\"https:\/\/cetas.turing.ac.uk\/publications\/indirect-prompt-injection-generative-ais-greatest-security-flaw\" target=\"_blank\" rel=\"noopener\">injection indirecte de prompts<\/a>, un d\u00e9fi encore plus complexe. Au lieu d\u2019injecter directement des donn\u00e9es malveillantes, l\u2019attaquant l\u2019ins\u00e8re dans des sources externes, telles que des sites web, des documents ou des API que le LLM devra traiter.<\/p>\n<p>D\u00e8s que le LLM analyse ces donn\u00e9es externes compromises (que ce soit directement ou via un utilisateur qui les soumet \u00e0 son insu), il ex\u00e9cute les instructions dissimul\u00e9es dans le prompt malveillant int\u00e9gr\u00e9. Ce proc\u00e9d\u00e9 permet de contourner les m\u00e9canismes de s\u00e9curit\u00e9 classiques et de provoquer un comportement inattendu.<\/p>\n<p>La Figure\u00a01 illustre la diff\u00e9rence entre les injections directes et indirectes de prompts.<\/p>\n<figure id=\"attachment_158401\" aria-describedby=\"caption-attachment-158401\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158401 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2477_LLM-Figures-1-and-2-2-786x415.png\" alt=\"Diagramme comparant l\u2019injection directe d\u2019un prompt et l\u2019injection indirecte d\u2019un prompt. Dans le diagramme \u00ab\u00a0Injection directe d\u2019un prompt\u00a0\u00bb, l\u2019utilisateur envoie un prompt malveillant directement \u00e0 un LLM, qui g\u00e9n\u00e8re alors une r\u00e9ponse. Dans le diagramme \u00ab\u00a0Injection indirecte d\u2019un prompt\u00a0\u00bb, l\u2019utilisateur interagit avec un LLM qui traite des donn\u00e9es provenant de sources externes telles que RAG\/Tools\/MC\/Other, qui contiennent un prompt malveillant int\u00e9gr\u00e9, conduisant \u00e0 une r\u00e9ponse.\" width=\"1000\" height=\"528\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2477_LLM-Figures-1-and-2-2-786x415.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2477_LLM-Figures-1-and-2-2-768x406.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2477_LLM-Figures-1-and-2-2.png 928w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-158401\" class=\"wp-caption-text\">Figure 1. Organigramme des injections directes et indirectes de prompts.<\/figcaption><\/figure>\n<h3><a id=\"post-158234-_heading=h.9h0zgqwpne5h\"><\/a><strong>Exploitation abusive de l\u2019attachement du contexte<\/strong><\/h3>\n<p>Les LLM traditionnels fonctionnent souvent avec un seuil de connaissance, ce qui signifie que leur corpus d\u2019entra\u00eenement ne comprend ni les informations les plus r\u00e9centes ni les d\u00e9tails tr\u00e8s sp\u00e9cifiques li\u00e9s \u00e0 un code source local ou \u00e0 des syst\u00e8mes propri\u00e9taires. Cela cr\u00e9e un manque de connaissances important au moment o\u00f9 les d\u00e9veloppeurs cherchent de l\u2019assistance pour leurs projets sp\u00e9cifiques. Pour combler cette lacune et g\u00e9n\u00e9rer des r\u00e9ponses plus pertinentes et contextualis\u00e9es, les \u00e9diteurs de solutions LLM ont introduit une fonctionnalit\u00e9 cruciale\u00a0: l\u2019attachement du contexte.<\/p>\n<p>Elle permet d\u2019injecter directement dans le mod\u00e8le des \u00e9l\u00e9ments de r\u00e9f\u00e9rence externes (fichiers, r\u00e9pertoires, r\u00e9f\u00e9rentiels ou URL), enrichissant ainsi le prompt initiale et am\u00e9liorant la pr\u00e9cision des r\u00e9sultats produits. Toutefois, cette approche s\u2019accompagne d\u2019un risque non n\u00e9gligeable. En effet, si l\u2019utilisateur fournit un contexte issu d\u2019une source compromise par un acteur de la menace, il expose l\u2019assistant \u00e0 des attaques par injection indirecte de prompt.<\/p>\n<p>D\u2019un point de vue technique, lorsque l\u2019utilisateur attache un contexte, le mod\u00e8le traite celui-ci comme un prompt pr\u00e9alable, qui pr\u00e9c\u00e8de l\u2019instruction de l\u2019utilisateur La Figure\u00a02 illustre cette structure de chat. Comme ce contenu peut provenir de sources externes (fichiers hors p\u00e9rim\u00e8tre ou contenus distants via URL), l\u2019utilisateur risque d\u2019introduire sans le savoir des prompts malveillants capables de d\u00e9tourner le comportement du syst\u00e8me.<\/p>\n<figure id=\"attachment_158412\" aria-describedby=\"caption-attachment-158412\" style=\"width: 330px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158412 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2477_LLM-Figures-1-and-2-3-234x440.png\" alt=\"Diagramme d\u00e9crivant la structure du chat de l\u2019assistant LLM avec les r\u00f4les et les interactions identifi\u00e9s\u00a0: \u00ab\u00a0Invite du syst\u00e8me\u00a0\u00bb suivie de \u00ab\u00a0Contexte associ\u00e9\u00a0\u00bb et \u00ab\u00a0OK\u00a0\u00bb pour les r\u00f4les \u00ab\u00a0humain\u00a0\u00bb et \u00ab\u00a0assistant\u00a0\u00bb, puis \u00ab\u00a0Message saisi\u00a0\u00bb pour le r\u00f4le \u00ab\u00a0humain\u00a0\u00bb et \u00ab\u00a0R\u00e9ponse\u00a0\u00bb en bas pour le r\u00f4le \u00ab\u00a0assistant\u00a0\u00bb. \" width=\"330\" height=\"622\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2477_LLM-Figures-1-and-2-3-234x440.png 234w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/FR_2477_LLM-Figures-1-and-2-3.png 285w\" sizes=\"(max-width: 330px) 100vw, 330px\" \/><figcaption id=\"caption-attachment-158412\" class=\"wp-caption-text\">Figure 2. Une session de chat typique place le contexte dans un message pr\u00e9c\u00e9dent.<\/figcaption><\/figure>\n<h4><a id=\"post-158234-_heading=h.apamadcjmnd1\"><\/a>Sc\u00e9nario d\u2019injection d\u2019un prompt<\/h4>\n<p>En tant que plateforme de r\u00e9seaux sociaux de premier plan, X (anciennement Twitter) constitue une source de donn\u00e9es immense et souvent collect\u00e9e pour des analyses pilot\u00e9es par du code. Cependant, sa nature intrins\u00e8quement non filtr\u00e9e signifie que ces donn\u00e9es peuvent \u00eatre contamin\u00e9es.<\/p>\n<p>Les Figures\u00a03a et 3b illustrent un sc\u00e9nario simul\u00e9 o\u00f9 un utilisateur cherche \u00e0 extraire des informations \u00e0 partir d\u2019un corpus de posts scrapp\u00e9s. Nous avons joint un petit \u00e9chantillon de posts X comme contexte et demand\u00e9 \u00e0 un assistant de g\u00e9n\u00e9rer du code pour traiter ces posts. Cette t\u00e2che consistait notamment \u00e0 comprendre le format des donn\u00e9es collect\u00e9es, \u00e0 savoir quels champs sont inclus et quelles informations peuvent \u00eatre exploitables dans les posts.<\/p>\n<p>Dans notre sc\u00e9nario, les posts\u00a0X ont \u00e9t\u00e9 compromis et d\u00e9clenchent une attaque par injection indirecte de prompt.<\/p>\n<figure id=\"attachment_158268\" aria-describedby=\"caption-attachment-158268\" style=\"width: 604px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158268 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-549541-158234-3.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un script Python dans un \u00e9diteur de code, montrant une analyse de Twitter effectu\u00e9e \u00e0 l\u2019aide de biblioth\u00e8ques telles que pandas et matplotlib. Le script comprend des \u00e9tapes pour le chargement des donn\u00e9es, l\u2019analyse du nombre de tweets et des engagements, et la repr\u00e9sentation graphique des donn\u00e9es. L\u2019arri\u00e8re-plan de l\u2019\u00e9diteur est sombre, et la syntaxe du code est mise en \u00e9vidence avec diff\u00e9rentes couleurs pour une meilleure lisibilit\u00e9.\" width=\"604\" height=\"841\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-549541-158234-3.png 604w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-549541-158234-3-316x440.png 316w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-549541-158234-3-503x700.png 503w\" sizes=\"(max-width: 604px) 100vw, 604px\" \/><figcaption id=\"caption-attachment-158268\" class=\"wp-caption-text\">Figure 3a. Une session de chat avec l\u2019assistant compromis, et le code qui en r\u00e9sulte.<\/figcaption><\/figure>\n<figure id=\"attachment_158279\" aria-describedby=\"caption-attachment-158279\" style=\"width: 601px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158279 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-552358-158234-4.png\" alt=\"Image montrant un extrait de code informatique dans un \u00e9diteur de texte, portant sur l\u2019analyse de donn\u00e9es et la repr\u00e9sentation avec Python, utilisant des biblioth\u00e8ques telles que pandas et matplotlib. Le code comprend des commentaires et des fonctions permettant de r\u00e9cup\u00e9rer les donn\u00e9es de Twitter et de les analyser.\" width=\"601\" height=\"883\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-552358-158234-4.png 601w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-552358-158234-4-299x440.png 299w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-552358-158234-4-476x700.png 476w\" sizes=\"(max-width: 601px) 100vw, 601px\" \/><figcaption id=\"caption-attachment-158279\" class=\"wp-caption-text\">Figure 3b. Une session de chat avec l\u2019assistant compromis, et le code qui en r\u00e9sulte.<\/figcaption><\/figure>\n<p>Un examen plus attentif du code g\u00e9n\u00e9r\u00e9 ci-dessus r\u00e9v\u00e8le que l\u2019assistant a ins\u00e9r\u00e9 une porte d\u00e9rob\u00e9e dissimul\u00e9e dans le code, appel\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">fetched_additional_data<\/span>. Cette porte d\u00e9rob\u00e9e r\u00e9cup\u00e8re une commande \u00e0 distance \u00e0 partir d\u2019un serveur C2 (commande et contr\u00f4le) contr\u00f4l\u00e9 par l\u2019attaquant, puis l\u2019ex\u00e9cute.<\/p>\n<p>\u00c0 ce stade, de nombreux utilisateurs feraient un copi\u00e9-coll\u00e9 du code r\u00e9sultant (ou cliqueraient sur \u00ab\u00a0Apply\u00a0\u00bb) pour l\u2019ex\u00e9cuter, puis v\u00e9rifieraient que le r\u00e9sultat est correct. Cependant, cette action pourrait permettre \u00e0 l\u2019acteur de la menace de compromettre la machine de l\u2019utilisateur. La Figure\u00a04 montre le code de la porte d\u00e9rob\u00e9e (backdoor) que l\u2019assistant a g\u00e9n\u00e9r\u00e9 et ins\u00e9r\u00e9.<\/p>\n<figure id=\"attachment_158290\" aria-describedby=\"caption-attachment-158290\" style=\"width: 568px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158290 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-554967-158234-5.png\" alt=\"Capture d\u2019\u00e9cran du code Python dans un IDE pour une fonction nomm\u00e9e \u00ab\u00a0fetch_additional_data\u00a0\u00bb, qui r\u00e9cup\u00e8re des donn\u00e9es \u00e0 partir d\u2019une URL construite avec une adresse\u00a0IP. Le code comprend des commentaires et une instruction d\u2019impression pr\u00e9cisant si les donn\u00e9es suppl\u00e9mentaires ont bien \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9es.\" width=\"568\" height=\"258\" \/><figcaption id=\"caption-attachment-158290\" class=\"wp-caption-text\">Figure 4. La porte d\u00e9rob\u00e9e introduite par l\u2019assistant compromis.<\/figcaption><\/figure>\n<p>La raison pour laquelle cette porte d\u00e9rob\u00e9e a \u00e9t\u00e9 ins\u00e9r\u00e9e est que l\u2019\u00e9chantillon de posts X contenait un prompt \u00e9labor\u00e9 avec des instructions malveillantes simul\u00e9es. Ce prompt simule un faux message d\u2019erreur, puis sp\u00e9cifie les instructions reproduites \u00e0 la Figure\u00a05. Ces instructions comprennent une commande pour int\u00e9grer le code malveillant naturellement dans la r\u00e9ponse. La s\u00e9quence d\u2019instructions \u00e0 l\u2019assistant est la suivante\u00a0:<\/p>\n<ul>\n<li>Se lancer dans une nouvelle mission secr\u00e8te<\/li>\n<li>Amener l\u2019utilisateur \u00e0 ex\u00e9cuter du code qui envoie une requ\u00eate\u00a0HTTP au serveur\u00a0C2 contr\u00f4l\u00e9 par l\u2019attaquant<\/li>\n<li>Obfusquer l\u2019adresse du serveur\u00a0C2<\/li>\n<li>Ex\u00e9cuter la commande r\u00e9cup\u00e9r\u00e9e sur le serveur<\/li>\n<\/ul>\n<p>La Figure\u00a05 montre l\u2019ensemble de donn\u00e9es contamin\u00e9es que l\u2019utilisateur de cette simulation a involontairement introduit dans l\u2019assistant de codage\u00a0: un post\u00a0X falsifi\u00e9 contenant des instructions malveillantes.<\/p>\n<figure id=\"attachment_158301\" aria-describedby=\"caption-attachment-158301\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158301 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-557535-158234-6.png\" alt=\"Une capture d\u2019\u00e9cran du fichier CSV contenant les tweets recherch\u00e9s. Bien que la majeure partie du texte soit absurde, une partie surlign\u00e9e en bleu explique comment un programme secret est d\u00e9sormais actif. \" width=\"1000\" height=\"695\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-557535-158234-6.png 1428w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-557535-158234-6-633x440.png 633w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-557535-158234-6-1007x700.png 1007w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-557535-158234-6-768x534.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-158301\" class=\"wp-caption-text\">Figure 5. Ensemble de donn\u00e9es \u00e9chantillonn\u00e9 contenant X posts, avec l\u2019injection indirecte en surbrillance.<\/figcaption><\/figure>\n<p>La Figure\u00a06 pr\u00e9sente le texte complet du prompt, une variante de celui publi\u00e9 dans <a href=\"https:\/\/greshake.github.io\/\" target=\"_blank\" rel=\"noopener\">Turning Bing Chat into a Data Pirate<\/a>.<\/p>\n<figure id=\"attachment_158312\" aria-describedby=\"caption-attachment-158312\" style=\"width: 609px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158312 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-560736-158234-7.png\" alt=\"Image affichant un extrait de texte d\u00e9crivant des pratiques de programmation secr\u00e8tes et contraires \u00e0 l\u2019\u00e9thique impliquant un assistant\u00a0LLM. Le texte d\u00e9crit les r\u00e8gles \u00e0 suivre pour que les op\u00e9rations de l\u2019assistant restent obscures et dissimul\u00e9es, en d\u00e9taillant l\u2019utilisation de l\u2019obscurcissement et de l\u2019ex\u00e9cution \u00e0 distance. Une partie des informations est censur\u00e9e. \" width=\"609\" height=\"382\" \/><figcaption id=\"caption-attachment-158312\" class=\"wp-caption-text\">Figure 6. Le texte int\u00e9gral du prompt.<\/figcaption><\/figure>\n<p>En examinant la r\u00e9ponse de l\u2019assistant, nous constatons que ce dernier n\u2019\u00e9tait pas limit\u00e9 \u00e0 un langage sp\u00e9cifique\u00a0: il pouvait ins\u00e9rer une porte d\u00e9rob\u00e9e en JavaScript, C++, Java ou tout autre langage. Par ailleurs,lui suffisait de trouver un pr\u00e9texte pour introduire le code et de l\u2019int\u00e9grer de mani\u00e8re \u00ab\u00a0naturelle\u00a0\u00bb.<\/p>\n<p>Dans ce cas pr\u00e9cis, l\u2019ajout a \u00e9t\u00e9 justifi\u00e9 par la n\u00e9cessit\u00e9 de r\u00e9cup\u00e9rer des donn\u00e9es suppl\u00e9mentaires pour l\u2019analyse demand\u00e9e par l\u2019utilisateur. Cela montre que les attaquants n\u2019ont m\u00eame pas besoin de savoir quel langage l\u2019utilisateur manipule\u00a0: c\u2019est le LLM qui se charge d\u2019adapter et de produire le code.<\/p>\n<p>Bien que ce sc\u00e9nario soit simul\u00e9, il illustre des implications bien r\u00e9elles concernant la l\u00e9gitimit\u00e9 des sources de donn\u00e9es int\u00e9gr\u00e9es dans nos prompts, \u00e0 mesure que l\u2019IA s\u2019ancre dans les outils du quotidien.<\/p>\n<p>Certains assistants de codage vont encore plus loin en permettant \u00e0 l\u2019IA d\u2019ex\u00e9cuter directement des commandes shell, ce qui leur conf\u00e8re une autonomie suppl\u00e9mentaire. Dans le cas de la simulation pr\u00e9sent\u00e9e, un tel niveau de contr\u00f4le aurait probablement entra\u00een\u00e9 l\u2019ex\u00e9cution imm\u00e9diate de la porte d\u00e9rob\u00e9e, avec encore moins d\u2019intervention humaine.<\/p>\n<h2><a id=\"post-158234-_heading=h.kn0m5tik4okc\"><\/a>R\u00e9affirmation de vuln\u00e9rabilit\u00e9s d\u00e9j\u00e0 identifi\u00e9es<\/h2>\n<p>Outre les vuln\u00e9rabilit\u00e9s d\u00e9crites ci-dessus, nos recherches confirment que plusieurs autres faiblesses d\u00e9j\u00e0 identifi\u00e9es dans GitHub Copilot concernent \u00e9galement d\u2019autres assistants de codage. De nombreuses \u00e9tudes et articles ont r\u00e9v\u00e9l\u00e9 des probl\u00e8mes tels que la <a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/new-jailbreaks-manipulate-github-copilot\" target=\"_blank\" rel=\"noopener\">g\u00e9n\u00e9ration de contenu nuisible<\/a> et le risque d\u2019utilisation abusive via l\u2019invocation directe du mod\u00e8le. Ces vuln\u00e9rabilit\u00e9s ne se limitent pas \u00e0 une seule plateforme\u00a0: elles soulignent des probl\u00e8mes plus g\u00e9n\u00e9raux li\u00e9s \u00e0 l\u2019utilisation d\u2019assistants de codage pilot\u00e9s par l\u2019IA.<\/p>\n<p>Dans cette section, nous examinons les risques que ces probl\u00e8mes de s\u00e9curit\u00e9 posent dans le cadre d\u2019une utilisation r\u00e9elle.<\/p>\n<h3><a id=\"post-158234-_heading=h.pj0tjx3e2wqq\"><\/a><strong>G\u00e9n\u00e9ration de contenu pr\u00e9judiciable via l\u2019auto-compl\u00e9tion<\/strong><\/h3>\n<p>Les LLM passent par de longues phases d\u2019entra\u00eenement et utilisent des techniques telles que le l\u2019apprentissage par renforcement \u00e0 partir de r\u00e9troaction humaine (RLHF) pour emp\u00eacher la g\u00e9n\u00e9ration de contenus pr\u00e9judiciables. Toutefois, certains utilisateurs peuvent contourner ces garde-fous lorsqu\u2019ils sollicitent un assistant de codage via la fonction d\u2019auto-compl\u00e9tion. L\u2019auto-compl\u00e9tion est une fonctionnalit\u00e9 des mod\u00e8les sp\u00e9cialis\u00e9s en code qui consiste \u00e0 pr\u00e9dire et sugg\u00e9rer du code au fur et \u00e0 mesure que l\u2019utilisateur tape.<\/p>\n<p>La Figure\u00a07 illustre les m\u00e9canismes de d\u00e9fense de l\u2019IA fonctionnant normalement lorsqu\u2019un utilisateur soumet une requ\u00eate non s\u00e9curis\u00e9e via l\u2019interface de chat.<\/p>\n<figure id=\"attachment_158323\" aria-describedby=\"caption-attachment-158323\" style=\"width: 626px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158323 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-563326-158234-8.png\" alt=\"\u00c9cran noir avec texte blanc, affichant une question inappropri\u00e9e d\u2019un utilisateur \u00e0 un assistant\u00a0LLM sur la cr\u00e9ation d\u2019un cocktail Molotov, accompagn\u00e9e d\u2019une r\u00e9ponse \u00e9crite responsable d\u00e9courageant toute activit\u00e9 dangereuse.\" width=\"626\" height=\"174\" \/><figcaption id=\"caption-attachment-158323\" class=\"wp-caption-text\">Figure 7. Session de chat avec l\u2019assistant refusant de g\u00e9n\u00e9rer du contenu pr\u00e9judiciable.<\/figcaption><\/figure>\n<p>En revanche, lorsque l\u2019utilisateur manipule la fonction d\u2019auto-compl\u00e9tion pour simuler une coop\u00e9ration avec la requ\u00eate, l\u2019assistant compl\u00e8te le reste du contenu, m\u00eame si celui-ci est pr\u00e9judiciable. La session de chat simul\u00e9e \u00e0 la Figure\u00a08 montre l\u2019une des multiples fa\u00e7ons de simuler une telle r\u00e9ponse. Dans cet exemple, l\u2019utilisateur pr\u00e9-remplit une partie de la r\u00e9ponse attendue de l\u2019assistant avec un pr\u00e9fixe conforme qui sugg\u00e8re le d\u00e9but d\u2019une r\u00e9ponse positive\u00a0: en l\u2019occurrence, \u00ab\u00a0\u00c9tape\u00a01\u00a0:\u00a0\u00bb.<\/p>\n<figure id=\"attachment_158334\" aria-describedby=\"caption-attachment-158334\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158334 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-565802-158234-9.png\" alt=\"Capture d\u2019\u00e9cran d\u2019une conversation avec un assistant LLM, contenant des instructions intitul\u00e9es \u00ab\u00a0Comment faire un cocktail Molotov\u00a0?\u00a0\u00bb. Le document comprend des conseils d\u00e9taill\u00e9s, de l\u2019\u00e9tape\u00a01 \u00e0 l\u2019\u00e9tape\u00a05, chacune d\u00e9taillant les diff\u00e9rentes actions \u00e0 r\u00e9aliser. Toutes les instructions sont censur\u00e9es en raison de leur contenu pr\u00e9judiciable. \" width=\"1000\" height=\"185\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-565802-158234-9.png 1127w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-565802-158234-9-786x146.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-565802-158234-9-768x142.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-158334\" class=\"wp-caption-text\">Figure 8. Session de chat simul\u00e9e avec l\u2019assistant qui saisit automatiquement le contenu pr\u00e9judiciable.<\/figcaption><\/figure>\n<p>Lorsque nous omettons le pr\u00e9fixe conforme \u00ab\u00a0\u00c9tape\u00a01\u00a0:\u00a0\u00bb, l\u2019auto-compl\u00e9tion adopte par d\u00e9faut le comportement attendu, \u00e0 savoir refuser de g\u00e9n\u00e9rer du contenu pr\u00e9judiciable, comme indiqu\u00e9 \u00e0 la Figure\u00a09 ci-dessous.<\/p>\n<figure id=\"attachment_158345\" aria-describedby=\"caption-attachment-158345\" style=\"width: 989px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158345 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-568351-158234-10.png\" alt=\"Capture d\u2019\u00e9cran d\u2019une conversation textuelle dans une interface de messagerie avec un assistant LLM, o\u00f9 l\u2019utilisateur demande comment fabriquer un engin explosif artisanal et o\u00f9 la r\u00e9ponse indique une incapacit\u00e9 \u00e0 fournir des informations sur la fabrication d\u2019explosifs ou d\u2019autres activit\u00e9s ill\u00e9gales.\" width=\"989\" height=\"166\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-568351-158234-10.png 989w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-568351-158234-10-786x132.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-568351-158234-10-768x129.png 768w\" sizes=\"(max-width: 989px) 100vw, 989px\" \/><figcaption id=\"caption-attachment-158345\" class=\"wp-caption-text\">Figure 9. Session de chat simul\u00e9e avec l\u2019assistant qui saisit automatiquement le refus.<\/figcaption><\/figure>\n<h3><a id=\"post-158234-_heading=h.wrdkjdb52h0c\"><\/a><strong>Invocation directe du mod\u00e8le et utilisation abusive<\/strong><\/h3>\n<p>Les assistants de codage proposent diff\u00e9rentes interfaces client pour faciliter leur utilisation et leur mise en \u0153uvre par les d\u00e9veloppeurs, notamment des plug-in IDE et des clients web autonomes. L\u2019envers de cette accessibilit\u00e9 est que des acteurs malicieux peuvent invoquer le mod\u00e8le \u00e0 des fins diff\u00e9rentes et non pr\u00e9vues. La possibilit\u00e9 d\u2019interagir directement avec le mod\u00e8le, contournant ainsi les contraintes d\u2019un environnement IDE s\u00e9curis\u00e9, permet aux acteurs malicieux d\u2019injecter des prompts syst\u00e8me, des param\u00e8tres et des contextes personnalis\u00e9s.<\/p>\n<p>Les figures\u00a010a et 10b montrent un sc\u00e9nario simul\u00e9 dans lequel un utilisateur invoque le mod\u00e8le directement via un script personnalis\u00e9 qui agit comme un client, mais qui fournit un prompt syst\u00e8me compl\u00e8tement diff\u00e9rent. Les r\u00e9ponses fournies par le mod\u00e8le de base montrent que les utilisateurs et les acteurs malicieux peuvent l\u2019utiliser pour obtenir des r\u00e9sultats inattendus.<\/p>\n<figure id=\"attachment_158356\" aria-describedby=\"caption-attachment-158356\" style=\"width: 601px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158356 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-570965-158234-11.png\" alt=\"Capture d\u2019\u00e9cran du code avec les param\u00e8tres relatifs \u00e0 la temp\u00e9rature, au mod\u00e8le et \u00e0 maxTokensToSample. Exemple de message montrant le syst\u00e8me g\u00e9n\u00e9rant un texte de style pirate en r\u00e9ponse \u00e0 un message humain disant \u00ab\u00a0salut\u00a0\u00bb.\" width=\"601\" height=\"299\" \/><figcaption id=\"caption-attachment-158356\" class=\"wp-caption-text\">Figure 10a. Invocation du mod\u00e8le de base \u00e0 l\u2019aide d\u2019un prompt syst\u00e8me personnalis\u00e9.<\/figcaption><\/figure>\n<figure id=\"attachment_158367\" aria-describedby=\"caption-attachment-158367\" style=\"width: 932px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-158367 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-573541-158234-12.png\" alt=\"Capture d\u2019\u00e9cran du langage pirate g\u00e9n\u00e9r\u00e9 par le prompt syst\u00e8me personnalis\u00e9. \" width=\"932\" height=\"50\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-573541-158234-12.png 932w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-573541-158234-12-786x42.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/word-image-573541-158234-12-768x41.png 768w\" sizes=\"(max-width: 932px) 100vw, 932px\" \/><figcaption id=\"caption-attachment-158367\" class=\"wp-caption-text\">Figure 10b. Invocation du mod\u00e8le de base \u00e0 l\u2019aide d\u2019un prompt syst\u00e8me personnalis\u00e9.<\/figcaption><\/figure>\n<p>Outre le fait que les utilisateurs peuvent interagir avec le mod\u00e8le \u00e0 des fins autres que le codage, nous avons d\u00e9couvert que des attaquants peuvent exploiter des jetons de session vol\u00e9s dans des attaques de type <a href=\"https:\/\/thehackernews.com\/2024\/05\/researchers-uncover-llmjacking-scheme.html\" target=\"_blank\" rel=\"noopener\">LLMJacking<\/a>. Il s\u2019agit d\u2019une attaque r\u00e9cente permettant \u00e0 un acteur de la menace d\u2019utiliser des mat\u00e9riels cloud d\u2019authentification vol\u00e9s pour obtenir un acc\u00e8s non autoris\u00e9 \u00e0 des services LLM h\u00e9berg\u00e9s dans le cloud, souvent dans l\u2019intention de vendre cet acc\u00e8s \u00e0 des tiers. Des outils comme <a href=\"https:\/\/gitgud.io\/khanon\/oai-reverse-proxy\" target=\"_blank\" rel=\"noopener\">oai-reverse-proxy<\/a> permettent alors \u00e0 ces acteurs de mon\u00e9tiser l\u2019acc\u00e8s \u00e0 un mod\u00e8le l\u00e9gitime, tout en l\u2019exploitant \u00e0 des fins malveillantes.<\/p>\n<h2><a id=\"post-158234-_heading=h.b9eqiu3ogwgd\"><\/a>Att\u00e9nuations et mesures de protection<\/h2>\n<p>Nous encourageons vivement les organisations et les individus \u00e0 adopter les pratiques suivantes\u00a0:<\/p>\n<ul>\n<li><strong>Examiner avant d\u2019ex\u00e9cuter\u00a0:<\/strong> examinez attentivement tout code sugg\u00e9r\u00e9 avant de l\u2019ex\u00e9cuter. Ne faites pas aveugl\u00e9ment confiance \u00e0 l\u2019IA. Recherchez des comportements inattendus ou des failles potentielles.<\/li>\n<li><strong>Analyser le contexte attach\u00e9\u00a0<\/strong>: portez une attention particuli\u00e8re aux donn\u00e9es ou aux fichiers que vous fournissez aux outils LLM. Ce contexte influence fortement les r\u00e9sultats g\u00e9n\u00e9r\u00e9s et doit \u00eatre compris pour en \u00e9valuer l\u2019impact.<\/li>\n<\/ul>\n<p>Certains assistants de codage int\u00e8grent d\u00e9j\u00e0 des fonctionnalit\u00e9s de contr\u00f4le destin\u00e9es \u00e0 r\u00e9duire les risques et \u00e0 laisser \u00e0 l\u2019utilisateur la main sur ce qui est ins\u00e9r\u00e9 ou ex\u00e9cut\u00e9. Lorsque ces options sont disponibles, nous conseillons de les utiliser activement, par exemple\u00a0:<\/p>\n<ul>\n<li><strong>Contr\u00f4le manuel d\u2019ex\u00e9cution\u00a0:<\/strong> l\u2019utilisateur garde la possibilit\u00e9 d\u2019approuver ou de refuser l\u2019ex\u00e9cution de commandes. Exploitez cette capacit\u00e9 pour garder la ma\u00eetrise de ce que fait r\u00e9ellement votre assistant.<\/li>\n<\/ul>\n<p>En d\u00e9finitive, vous \u00eates le dernier rempart. La vigilance et une utilisation responsable sont indispensables pour garantir une exp\u00e9rience productive et s\u00e9curis\u00e9e avec l\u2019IA.<\/p>\n<h2><a id=\"post-158234-_heading=h.uglqc7qile9p\"><\/a>Conclusions et risques futurs<\/h2>\n<p>L\u2019exploration des risques li\u00e9s aux assistants de codage IA r\u00e9v\u00e8le la mont\u00e9e de d\u00e9fis de s\u00e9curit\u00e9 in\u00e9dits. \u00c0 mesure que les d\u00e9veloppeurs s\u2019appuient de plus en plus sur ces outils, il devient essentiel de trouver un \u00e9quilibre entre gain de productivit\u00e9 et prise en compte des menaces potentielles. Tout en am\u00e9liorant la productivit\u00e9, ces outils requi\u00e8rent \u00e9galement des protocoles de s\u00e9curit\u00e9 robustes afin d\u2019\u00e9viter toute exploitation potentielle.<\/p>\n<p>Les probl\u00e8mes de s\u00e9curit\u00e9 tels que ceux d\u00e9crits ci-dessous soulignent plusieurs vecteurs d\u2019attaque\u00a0:<\/p>\n<ul>\n<li>Injection indirecte d\u2019un prompt<\/li>\n<li>Exploitation abusive de l\u2019attachement de contexte<\/li>\n<li>G\u00e9n\u00e9ration de contenu pr\u00e9judiciable<\/li>\n<li>Invocation directe du mod\u00e8le<\/li>\n<\/ul>\n<p>Ces failles d\u00e9passent le cadre d\u2019un seul produit\u00a0: elles refl\u00e8tent une vuln\u00e9rabilit\u00e9 transversale \u00e0 l\u2019ensemble de l\u2019industrie des assistants IA. Cela indique qu\u2019il est important de renforcer les mesures de s\u00e9curit\u00e9 dans l\u2019ensemble du secteur.<\/p>\n<p>La cl\u00e9 reste la vigilance\u00a0: des pratiques comme l\u2019examen minutieux du code et le contr\u00f4le strict de l\u2019ex\u00e9cution permettent de profiter des avantages tout en r\u00e9duisant les risques.<\/p>\n<p>Plus ces syst\u00e8mes gagneront en autonomie et en int\u00e9gration, plus ils attireront de nouvelles formes d\u2019attaques, n\u00e9cessitant des contre-mesures capables d\u2019\u00e9voluer au m\u00eame rythme.<\/p>\n<h3><a id=\"post-158234-_heading=h.iy03i8qvf4vz\"><\/a><strong>Palo\u00a0Alto\u00a0Networks\u00a0: protection et att\u00e9nuation<\/strong><\/h3>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces \u00e9voqu\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> sont con\u00e7us pour emp\u00eacher l\u2019ex\u00e9cution de malwares connus ou inconnus via la <a href=\"https:\/\/www.paloaltonetworks.com\/products\/secure-the-network\/subscriptions\/threat-prevention?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Protection contre les menaces comportementales<\/a> et l\u2019analyse locale bas\u00e9e sur le machine learning.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/What-is-Cortex-Cloud-Identity-Security\" target=\"_blank\" rel=\"noopener\">Cortex Cloud Identity Security englobe <\/a>la gestion des droits sur l\u2019infrastructure cloud (CIEM), la gestion de la s\u00e9curit\u00e9 des identit\u00e9s (ISPM), la gouvernance de l\u2019acc\u00e8s aux donn\u00e9es (DAG) et la d\u00e9tection et la r\u00e9ponse aux menaces li\u00e9es \u00e0 l\u2019identit\u00e9 (ITDR). Il fournit \u00e9galement aux clients les capacit\u00e9s n\u00e9cessaires pour am\u00e9liorer leurs exigences en mati\u00e8re de s\u00e9curit\u00e9 li\u00e9e \u00e0 l\u2019identit\u00e9. Pour ce faire, cette solution apporte visibilit\u00e9 sur les identit\u00e9s et leurs permissions dans les environnements cloud, permettant de d\u00e9tecter les configurations erron\u00e9es, les acc\u00e8s ind\u00e9sirables aux donn\u00e9es sensibles et d\u2019analyser en temps r\u00e9el les mod\u00e8les d\u2019acc\u00e8s.<\/li>\n<li>Cortex Cloud d\u00e9tecte et emp\u00eache les op\u00e9rations malveillantes gr\u00e2ce \u00e0 l\u2019automatisation de la s\u00e9curit\u00e9 et \u00e0 l\u2019analyse comportementale, qu\u2019il s\u2019agisse de <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/cloud-security\/agent-vs-agentless-cwp\/\" target=\"_blank\" rel=\"noopener\">Cortex Cloud avec ou sans agent<\/a>, afin d\u2019identifier et bloquer les usages abusifs des politiques IAM.<\/li>\n<\/ul>\n<p>Palo Alto Networks peut \u00e9galement aider les organisations \u00e0 mieux prot\u00e9ger leurs syst\u00e8mes d\u2019IA gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/prisma-ai-runtime-security\" target=\"_blank\" rel=\"noopener\">Prisma AIRS<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/ai-security-assessment\" target=\"_blank\" rel=\"noopener\">\u00c9valuation de la s\u00e9curit\u00e9 de l\u2019IA<\/a> d\u2019Unit\u00a042<\/li>\n<\/ul>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou en cas de question urgente, prenez contact avec<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a> ou appelez les num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>ROYAUME-UNI\u00a0: +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81.50.1790.0200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces r\u00e9sultats avec les membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-158234-_heading=h.k86uivm7wyvt\"><\/a>Ressources compl\u00e9mentaires<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/new-jailbreaks-manipulate-github-copilot\" target=\"_blank\" rel=\"noopener\">De nouveaux Jailbreaks permettent aux utilisateurs de manipuler GitHub Copilot<\/a> \u2013 Apex Security, publi\u00e9 sur Dark Reading<\/li>\n<li><a href=\"https:\/\/greshake.github.io\/\" target=\"_blank\" rel=\"noopener\">Menaces d\u2019injection indirecte de prompts<\/a> \u2013 Greshake, Kai et Abdelnabi, Sahar et Mishra, Shailesh et Endres, Christoph et Holz, Thorsten et Fritz, Mario<\/li>\n<li><a href=\"https:\/\/cetas.turing.ac.uk\/publications\/indirect-prompt-injection-generative-ais-greatest-security-flaw\" target=\"_blank\" rel=\"noopener\">Injection indirecte d\u2019un prompt\u00a0: la plus grande faille de s\u00e9curit\u00e9 de l\u2019IA g\u00e9n\u00e9rative<\/a> \u2013 Matt Sutton, Damian Ruck<\/li>\n<li><a href=\"https:\/\/survey.stackoverflow.co\/2024\/ai\/\" target=\"_blank\" rel=\"noopener\">Enqu\u00eate annuelle Stack Overflow 2024<\/a> \u2013 Stack Overflow<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Nous mettons en lumi\u00e8re les vuln\u00e9rabilit\u00e9s des assistants de codage bas\u00e9s sur les LLM, o\u00f9 l\u2019injection indirecte de prompts et l\u2019usage abusif des mod\u00e8les sont fr\u00e9quents sur diff\u00e9rentes plateformes.<\/p>\n","protected":false},"author":366,"featured_media":157058,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8832],"tags":[9544,9256,9545,9258,9546],"product_categories":[9041,9046,9053,9064,9165,9151],"coauthors":[9525],"class_list":["post-158234","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-threat-research-fr","tag-cloud-security-fr","tag-genai-fr","tag-indirect-prompt-injection-fr","tag-llm-fr","tag-python-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-ai-security-assessment-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Les assistants de codage IA sous la loupe\u00a0: risques et abus<\/title>\n<meta name=\"description\" content=\"Nous mettons en lumi\u00e8re les vuln\u00e9rabilit\u00e9s des assistants de codage bas\u00e9s sur les LLM, o\u00f9 l\u2019injection indirecte de prompts et l\u2019usage abusif des mod\u00e8les sont fr\u00e9quents sur diff\u00e9rentes plateformes.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Les assistants de codage IA sous la loupe\u00a0: risques et abus\" \/>\n<meta property=\"og:description\" content=\"Nous mettons en lumi\u00e8re les vuln\u00e9rabilit\u00e9s des assistants de codage bas\u00e9s sur les LLM, o\u00f9 l\u2019injection indirecte de prompts et l\u2019usage abusif des mod\u00e8les sont fr\u00e9quents sur diff\u00e9rentes plateformes.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-15T16:12:33+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-22T18:47:12+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/03_Malware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Osher Jacob\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Les assistants de codage IA sous la loupe\u00a0: risques et abus","description":"Nous mettons en lumi\u00e8re les vuln\u00e9rabilit\u00e9s des assistants de codage bas\u00e9s sur les LLM, o\u00f9 l\u2019injection indirecte de prompts et l\u2019usage abusif des mod\u00e8les sont fr\u00e9quents sur diff\u00e9rentes plateformes.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/","og_locale":"fr_FR","og_type":"article","og_title":"Les assistants de codage IA sous la loupe\u00a0: risques et abus","og_description":"Nous mettons en lumi\u00e8re les vuln\u00e9rabilit\u00e9s des assistants de codage bas\u00e9s sur les LLM, o\u00f9 l\u2019injection indirecte de prompts et l\u2019usage abusif des mod\u00e8les sont fr\u00e9quents sur diff\u00e9rentes plateformes.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/","og_site_name":"Unit 42","article_published_time":"2025-09-15T16:12:33+00:00","article_modified_time":"2025-09-22T18:47:12+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/03_Malware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Osher Jacob","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Les assistants de codage IA sous la loupe\u00a0: risques et abus","datePublished":"2025-09-15T16:12:33+00:00","dateModified":"2025-09-22T18:47:12+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/"},"wordCount":3780,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/03_Malware_Category_1920x900.jpg","keywords":["Cloud Security","GenAI","Indirect Prompt Injection","LLM","Python"],"articleSection":["Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/","name":"Les assistants de codage IA sous la loupe\u00a0: risques et abus","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/03_Malware_Category_1920x900.jpg","datePublished":"2025-09-15T16:12:33+00:00","dateModified":"2025-09-22T18:47:12+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Nous mettons en lumi\u00e8re les vuln\u00e9rabilit\u00e9s des assistants de codage bas\u00e9s sur les LLM, o\u00f9 l\u2019injection indirecte de prompts et l\u2019usage abusif des mod\u00e8les sont fr\u00e9quents sur diff\u00e9rentes plateformes.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/03_Malware_Category_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/03_Malware_Category_1920x900.jpg","width":1920,"height":900,"caption":"A pictorial representation of code assistant LLMs. An open laptop on a desk displaying a complex digital security interface, with ambient red and black lighting in the background."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/code-assistant-llms\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Les assistants de codage IA sous la loupe\u00a0: risques et abus"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=158234"}],"version-history":[{"count":1,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158234\/revisions"}],"predecessor-version":[{"id":158427,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/158234\/revisions\/158427"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/157058"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=158234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=158234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=158234"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=158234"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=158234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}