Des milliers de dépôts GitHub exposés, désormais privés, sont toujours accessibles via Microsoft Copilot, car ce n'est pas parce qu'un dépôt est mis hors ligne que l'IA ne peut pas y accéderDes milliers de dépôts GitHub privés, dont certains pourraient contenir des informations d'identification et d'autres secrets, sont exposés par l'intermédiaire de Microsoft Copilot, l'assistant virtuel d'intelligence artificielle générative (GenAI) de l'entreprise, ont averti des experts. Les chercheurs en cybersécurité de Lasso ont fait part de leurs découvertes à Microsoft, mais ont reçu une réponse mitigée.
L'exposition des dépôts privés via Copilot intervient alors que GitHub a élargi l'accès à son outil IA d'autocomplétion de code. En effet, depuis décembre 2024, Microsoft propose une version gratuite de GitHub Copilot, qui permet de compléter jusqu'à 2 000 codes par mois avant de demander aux utilisateurs de passer à un plan PRO payant. Bien que cette initiative profite aux développeurs, les critiques soutiennent que Copilot repose sur l'utilisation non autorisée de logiciels open source, soulevant des questions d'ordre juridique.
Lasso est une société de cybersécurité qui se concentre sur les menaces liées à l'utilisation de nouveaux outils d'IA. Elle a indiqué que Copilot avait été en mesure de récupérer l'un de ses propres dépôts GitHub, qui aurait dû être privé et inaccessible sur l'internet en général. En effet, la navigation directe vers GitHub renvoie une erreur de type « page non trouvée ». Cependant, à un moment donné, l'équipe a laissé le dépôt accessible au public pendant une courte période - suffisamment longtemps pour que le moteur de recherche Bing de Microsoft puisse l'indexer. Copilot a ainsi pu accéder aux données, alors qu'il n'aurait pas dû le faire.
Lasso a poursuivi ses recherches en compilant une liste de dizaines de milliers de dépôts qui étaient publics à un moment donné et qui sont aujourd'hui privés, et en a trouvé plus de 20 000 qui sont toujours accessibles via Copilot et qui appartiennent à des dizaines de milliers d'organisations, y compris certains des plus grands acteurs du secteur technologique.
Les conséquences de ces découvertes pourraient être très graves. Le cofondateur de Lasso, Ophir Dror, a déclaré avoir utilisé la faille pour récupérer un GitHub hébergeant un outil permettant de créer des images d'IA « offensantes et nuisibles » à l'aide du service d'IA cloud de MIcrosoft. Différents secrets d'entreprise pourraient également être exposés de cette manière, ce qui a incité Ophir Dror à conseiller aux victimes de faire pivoter ou de révoquer leurs clés privées.
Microsoft aurait dit à l'entreprise que le problème était « de faible gravité » et que le comportement du cache était « acceptable ». Toutefois, depuis décembre 2024, Microsoft n'inclut plus de liens vers le cache de Bing dans ses résultats de recherche et Copilot peut donc toujours accéder aux données.
Au-delà des risques de sécurité, l'impact de Copilot sur la qualité du code suscite également de plus en plus d'inquiétudes. Une étude réalisée par la société d'analyse GitClear a révélé que l'utilisation de l'assistant IA GitHub Copilot entraîne une baisse de la qualité globale du code et une quantité importante de code redondant. Les chercheurs ont également constaté une forte augmentation du "code churn", une métrique qui mesure le niveau de modification du code au fil du temps, suggérant un mauvais signe pour la qualité de la base de code.
Source : Chercheurs en cybersécurité de Lasso
Et vous ?
Quelle lecture faites-vous de cette situation ? Trouvez-vous les conclusions de cette recherche menée par Lasso crédibles ou pertinentes ?Voir aussi :
Des secrets d'entreprise pourraient être divulgués par inadvertance via les dépôts GitHub, selon une nouvelle étude d'Aqua Security Sur GitHub, il est possible d'accéder aux données de dépôts supprimés (publics ou privés) et des forks supprimés. GitHub considère qu'il s'agit d'une fonctionnalité et non d'un bogue
Vous avez lu gratuitement 6 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.