Je commence à être fatigué...

FrançaisالعربيةDeutschEnglishEspañolहिन्दीBahasa Indonesia한국어PortuguêsРусский中文
MMaximilian Schwarzmüller
컴퓨터/소프트웨어경영/리더십AI/미래기술

Transcript

00:00:00Nous sommes mercredi matin et j'ai délibérément décidé de ne pas faire d'épisode sur l'énorme attaque de la chaîne d'approvisionnement, une nouvelle attaque massive survenue hier avec plus de 600 paquets NPM touchés, encore une attaque de type “shy Hulu”, parce que je ne veux pas en parler chaque semaine.
00:00:23Mais il y a quelques heures, je me suis réveillé en lisant que GitHub enquête sur la compromission d'environ 4 000 dépôts internes, suite à l'infection de l'appareil d'un employé par une extension VS Code piégée.
00:00:43Et je suis vraiment fatigué. Il ne se passe pas une semaine sans incidents de sécurité graves comme celui-ci. La semaine dernière, nous avons eu la vague d'attaques sur la chaîne d'approvisionnement liée à Tanstack, cette semaine nous en avons eu une autre, et maintenant cette attaque GitHub.
00:01:07Et jusqu'à présent, d'après ce que GitHub a publié, cela n'a “guillemets” touché que leur dépôt, avec l'exfiltration d'environ 4 000 dépôts internes, pas les dépôts des clients, ni les dépôts privés des clients, juste les dépôts internes de GitHub, mais il ne se passe toujours pas une semaine sans un nouvel incident de ce genre.
00:01:27Et je veux dire, nous avons aussi toutes ces vulnérabilités de sécurité qui sont découvertes, encore une fois impliquant GitHub, celle trouvée il y a quelques semaines qui permettait l'exécution de code à distance.
00:01:38Elle a été trouvée et corrigée avant de pouvoir être exploitée, mais la cybersécurité devient évidemment un problème énorme. Je sais que j'en ai déjà parlé et j'ai abordé le rôle de l'IA, qui est bien sûr immense car elle aide à trouver des vulnérabilités,
00:02:00elle aide à écrire du code malveillant, elle aide à mener des attaques sur la chaîne d'approvisionnement, et cela rend ces attaques bien plus intéressantes pour les attaquants car il y a tellement de nouveaux utilisateurs qui poussent du code, plus de code écrit que jamais, des agents qui écrivent du code et installent des paquets, c'est le Far West en ce moment.
00:02:24C'est vraiment une période agaçante, je dois dire. Je suis tout à fait d'accord sur le fait qu'il faut s'adapter à la présence de l'IA, qu'il faut apprendre à travailler avec ces outils.
00:02:40Et c'est ce que je fais depuis plusieurs mois, c'est pourquoi j'ai créé des cours sur Claude Code ou Codex, et récemment mon collègue Manuel en a créé un sur le travail avec Claude Code, car nous voulons partager ce que nous avons appris sur ces outils, comment nous les utilisons, comment vous pouvez peut-être les utiliser pour être plus efficace et comment faire cette transition du développement traditionnel au développeur assisté par l'IA.
00:03:03Mais en même temps, soyons très honnêtes, j'adorerais avoir une période plus simple avec moins d'incidents de sécurité, avec moins de PDG me disant tout le temps que tout le travail de bureau sera terminé dans un mois ou deux, mais nous y sommes.
00:03:21Nous y sommes avec un autre incident de sécurité aujourd'hui, et comme je l'ai mentionné, nous ne sommes que mercredi matin, donc nous verrons ce qui arrivera pour le reste de la semaine.
00:03:30Et la seule chose que nous pouvons faire pour le moment, à part quitter l'industrie bien sûr, ce que certains développeurs ont fait ou envisagent de faire, la seule chose à faire si vous décidez de rester dans cette industrie est bien sûr de s'adapter et d'apprendre à utiliser ces outils d'IA, certes, mais quand il s'agit de sécurité, il faut vraiment prendre cela au sérieux.
00:03:50Et je sais que je l'ai déjà mentionné dans des épisodes précédents, mais c'est par exemple pourquoi j'ai créé une vidéo gratuite complète sur mon autre chaîne YouTube, que je mettrai à nouveau en lien ci-dessous, où je vous guide à travers quelques étapes de base pour avoir un environnement de développement plus sécurisé.
00:04:08Et cela inclut des choses comme l'utilisation d'un gestionnaire de paquets comme pnpm ou bun, qui est plus sécurisé par défaut. Par exemple, la dernière version de pnpm a un âge de publication minimum d'un jour, ce qui signifie que si vous installez des paquets via celui-ci, il ne récupérera pas les paquets vieux de moins d'un jour.
00:04:29Réduisant ainsi le risque d'être affecté par des attaques sur la chaîne d'approvisionnement, car la plupart d'entre elles, pas nécessairement toutes bien sûr, vous n'avez aucune garantie, mais la plupart sont détectées assez rapidement, donc c'est une bonne chose et vous pouvez évidemment ajuster tous ces paramètres.
00:04:44Et puis des gestionnaires comme celui-ci, mais aussi bun par exemple, bloquent l'exécution de scripts qui pourraient être attachés aux paquets que vous installez.
00:04:55Et puis bien sûr, il y a d'autres étapes comme travailler dans un conteneur de développement ou sur une machine virtuelle, en faisant votre développement là-bas, et ne pas stocker de secrets en texte clair sur votre machine.
00:05:05Mais bien sûr, on peut aussi se demander pour GitHub comment la compromission de l'appareil d'un seul employé, comme cela semble être le cas, peut conduire à une exfiltration massive de données comme celle-ci. Donc, évidemment, les grandes entreprises ou toute entreprise avec plus de quelques employés devront repenser à quel point leurs rayons d'action sont vastes et combien de dégâts un seul employé peut causer.
00:05:31Et tout cela arrive à un moment où, théoriquement, vous voudriez donner aux agents d'IA un accès massif à toutes sortes de données pour les rendre efficaces, pour que les agents puissent parcourir de vastes quantités de données et interagir avec tous types de systèmes. Vous avez donc ces réalités conflictuelles en ce moment.
00:05:53Et la vérité est que vous êtes en grand danger si vous n'êtes pas restrictif sur les autorisations, les droits d'accès, la sécurité des données et tout ce genre de choses amusantes dont personne ne s'est soucié pendant de nombreuses années, mais maintenant cela devient sérieux, l'IA rend ces attaques plus faciles et plus rentables.
00:06:12Des moments amusants, des moments amusants pour être un développeur, mais hé, ça ne peut probablement qu'aller mieux, nous verrons bien.

Key Takeaway

La multiplication des attaques sur la chaîne d'approvisionnement et les vulnérabilités liées à l'IA imposent une rigueur accrue, notamment via l'utilisation de gestionnaires de paquets restrictifs comme pnpm et l'isolation des environnements de travail.

Highlights

  • GitHub enquête sur l'exfiltration d'environ 4 000 dépôts internes après l'infection de l'appareil d'un employé via une extension VS Code piégée.

  • Plus de 600 paquets NPM ont été touchés par une attaque de chaîne d'approvisionnement massive cette semaine.

  • L'utilisation de gestionnaires de paquets comme pnpm permet de bloquer l'installation de paquets vieux de moins d'un jour, réduisant ainsi l'exposition aux attaques récentes.

  • Les outils modernes comme bun restreignent automatiquement l'exécution de scripts potentiellement malveillants lors de l'installation de dépendances.

  • Le développement assisté par IA augmente les vecteurs d'attaque en automatisant la création de code vulnérable et la prolifération de paquets malveillants.

  • La sécurisation des environnements nécessite l'adoption systématique de conteneurs de développement et l'élimination des secrets en texte clair.

Timeline

Recrudescence des incidents de cybersécurité

  • GitHub a subi une compromission de 4 000 dépôts internes suite à l'infection d'un poste de travail.
  • Plus de 600 paquets NPM ont été compromis cette semaine par une attaque de type “shy Hulu”.
  • Les incidents de sécurité graves surviennent désormais de manière hebdomadaire.

La fréquence des attaques ciblant la chaîne d'approvisionnement logicielle s'est intensifiée. Bien que l'attaque sur GitHub ne concerne que les dépôts internes sans compromission directe des données clients, elle illustre la vulnérabilité des grandes infrastructures face à la compromission d'un seul terminal.

L'IA comme vecteur d'instabilité

  • L'IA facilite la détection de vulnérabilités, l'écriture de code malveillant et l'automatisation des attaques.
  • La transition vers des outils assistés par IA devient nécessaire malgré les risques accrus.
  • Le volume de code produit par des agents et des utilisateurs non expérimentés accroît la surface d'attaque.

Le développement moderne est devenu une zone à haut risque, décrite comme le “Far West”. L'automatisation par l'IA permet aux attaquants d'exploiter les systèmes à une échelle inédite, rendant la surveillance manuelle insuffisante face à la vélocité des nouvelles menaces.

Stratégies de sécurisation du développement

  • L'utilisation de pnpm permet de filtrer les paquets publiés depuis moins de 24 heures.
  • Les gestionnaires comme bun bloquent par défaut l'exécution automatique de scripts suspects lors de l'installation.
  • L'isolation via des conteneurs de développement ou des machines virtuelles est une protection nécessaire.
  • Les entreprises doivent limiter strictement les droits d'accès pour empêcher qu'une seule compromission ne devienne massive.

Face à ces risques, la sécurisation repose sur des choix techniques restrictifs. Il est recommandé de proscrire les secrets en texte clair et de cloisonner les environnements de développement, tout en réévaluant les permissions accordées aux agents IA dans les systèmes internes.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video