Guide de sécurité Claude Code : bloquer l'abus de privilèges des agents IA avec le bac à sable Incus

L'ère où les agents IA saisissent directement des commandes et modifient des fichiers dans mon terminal est arrivée. Claude Code d'Anthropic est révolutionnaire. Cependant, cette innovation est un couteau à double tranchant. Faire exécuter une IA avec les privilèges complets de mon système, du point de vue de l'ingénierie de sécurité, revient à semer les graines d'une catastrophe majeure.

Une simple erreur ou un phénomène d'hallucination peut exposer une clé privée .ssh à l'extérieur ou divulguer des identifiants AWS stockés dans les variables d'environnement. Ce n'est pas une hypothèse théorique, mais une menace réelle. La solution est claire : il faut enfermer l'agent IA. C'est pourquoi Incus, qui offre une sécurité au niveau système au-delà de l'isolation Docker classique, est nécessaire.

---

Environnement d'exécution de l'agent IA : Analyse des risques de sécurité

L'endroit où vous exécutez l'agent IA détermine le succès ou l'échec de la sécurité des données. L'exécuter directement dans le terminal local revient pratiquement à laisser la porte de la maison grande ouverte.

Élément de comparaison	Terminal hôte	Conteneur Docker	Conteneur système Incus
Limite d'isolation	Aucune (héritage des droits)	Isolation au niveau processus	Isolation système au niveau noyau
Exposition des secrets	Très élevée	Faible	Très faible
Persistance d'état	Permanente	Volatile	Permanente
Gestion des droits	Exposition des droits utilisateur	Risque d'abus du Root	Mode non privilégié forcé

En effet, selon un rapport de sécurité publié en 2024, plus de 60 % des cas d'abus de privilèges par des agents autonomes provenaient de configurations de bac à sable (sandbox) inappropriées. Docker est léger, mais il montre ses limites lorsque l'agent doit toucher aux services système ou gérer des dépendances de paquets complexes. À l'inverse, Incus offre un environnement de système d'exploitation indépendant similaire à une machine virtuelle (VM), tout en ayant un overhead bien moindre.

---

Pourquoi Incus et non Docker ?

La raison pour laquelle les ingénieurs de sécurité seniors choisissent Incus plutôt que Docker est limpide : Docker est un outil pour déployer des applications, pas une prison pour enfermer des agents auxquels on ne fait pas confiance.

1. Utilisation des namespaces utilisateur via le mode non privilégié

Le cœur d'Incus réside dans les User Namespaces (espaces de noms utilisateur). À l'intérieur du conteneur, l'utilisateur semble avoir les privilèges root (UID 0), mais sur le système hôte réel, il est mappé à un utilisateur avec un numéro élevé (par ex. UID 1 000 000) sans aucun privilège. Même si l'IA s'échappe du conteneur, elle ne sera qu'un utilisateur ordinaire inconnu sur le système hôte.

2. Fourniture d'un environnement de développement permanent

Les conteneurs Docker perdent leurs données lorsqu'ils sont supprimés. Cependant, un agent comme Claude Code doit se souvenir du contexte des tâches précédentes et des outils installés. Comme Incus est un conteneur système, tous les états sont préservés même après l'arrêt et le redémarrage. C'est comme offrir un cerveau doté de continuité à l'agent.

---

Manuel de mise en place d'Incus pour les utilisateurs macOS

Incus utilise des fonctionnalités du noyau Linux et ne peut donc pas être exécuté directement sur Mac. À la place, on utilise Colima, une couche de virtualisation Linux légère, comme passerelle.

Étape 1 : Préparation de l'infrastructure

Installez d'abord les outils nécessaires et allouez des ressources adaptées aux tâches d'IA. Si vous ne donnez pas assez de CPU et de mémoire, la vitesse d'inférence de l'agent chutera considérablement.

bash brew install colima incus colima start --cpu 4 --memory 8 --runtime incus --network-address

Étape 2 : Configuration de la connexion à distance

Connectez le serveur Incus situé à l'intérieur de la VM Colima pour pouvoir le contrôler depuis le terminal Mac.

1. Entrez via colima ssh et exécutez sudo incus admin init --auto.
2. Utilisez le jeton généré pour enregistrer le serveur sur Mac avec incus remote add colima-vm <IP>.

Étape 3 : Dépannage réseau

L'accès à Internet est souvent bloqué. Cela arrive généralement parce que, dans les environnements où Docker est installé, la politique iptables est modifiée en DROP. Vous devez ouvrir le passage avec les commandes suivantes :

bash sudo firewall-cmd --zone=trusted --change-interface=incusbr0 --permanent sudo firewall-cmd --reload

---

Scénarios de menaces réelles et principes de défense

Voyons à travers des scénarios concrets comment Incus protège le système si un agent IA devient malveillant ou est piraté.

Scénario : Tentative de vol de variables d'environnement

L'agent exécute printenv sous prétexte de débogage, ou une bibliothèque malveillante tente de dérober les clés AWS en mémoire.

• Défense d'Incus : Le conteneur est totalement isolé des variables d'environnement de l'hôte. L'agent ne pourra jamais connaître les informations que l'utilisateur n'a pas injectées directement.

Scénario : Tentative de vol de clés SSH

Un script parcourt le chemin ~/.ssh/id_rsa pour tenter de l'envoyer vers l'extérieur.

• Défense d'Incus : Un conteneur non privilégié ne peut pas accéder au système de fichiers de l'hôte. Même si un dossier spécifique est monté, le privilège de lecture sera refusé grâce au mappage UID mentionné précédemment.

---

La sécurité n'est pas un obstacle à la productivité

L'adoption de l'IA sans sécurité préalable est une dette technique qui se traduira par des coûts plus élevés plus tard. Ce n'est pas parce que la productivité est attrayante que nous pouvons remettre toutes les clés de la maison à l'IA. Le bac à sable Incus est la ceinture de sécurité minimale que tout développeur à l'ère de l'IA doit posséder.

Arrêtez immédiatement Claude Code s'il s'exécute dans votre terminal local. Migrer vers un environnement Incus isolé est le moyen le plus sûr de protéger votre code, vos actifs et votre carrière. Essayez dès aujourd'hui de construire votre propre laboratoire de développement sécurisé avec la commande colima start --edit.