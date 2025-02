Des milliers de dépôts GitHub exposés, désormais privés, sont toujours accessibles via Microsoft Copilot, car ce n'est pas parce qu'un dépôt est mis hors ligne que l'IA ne peut pas y accéder



L'exposition des dépôts privés via Copilot intervient alors que GitHub a élargi l'accès à son outil IA d'autocomplétion de code. En effet, depuis décembre 2024, Microsoft propose une version gratuite de GitHub Copilot , qui permet de compléter jusqu'à 2 000 codes par mois avant de demander aux utilisateurs de passer à un plan PRO payant. Bien que cette initiative profite aux développeurs, les critiques soutiennent que Copilot repose sur l'utilisation non autorisée de logiciels open source, soulevant des questions d'ordre juridique.Lasso est une société de cybersécurité qui se concentre sur les menaces liées à l'utilisation de nouveaux outils d'IA. Elle a indiqué que Copilot avait été en mesure de récupérer l'un de ses propres dépôts GitHub, qui aurait dû être privé et inaccessible sur l'internet en général. En effet, la navigation directe vers GitHub renvoie une erreur de type « page non trouvée ». Cependant, à un moment donné, l'équipe a laissé le dépôt accessible au public pendant une courte période - suffisamment longtemps pour que le moteur de recherche Bing de Microsoft puisse l'indexer. Copilot a ainsi pu accéder aux données, alors qu'il n'aurait pas dû le faire.Lasso a poursuivi ses recherches en compilant une liste de dizaines de milliers de dépôts qui étaient publics à un moment donné et qui sont aujourd'hui privés, et en a trouvé plus de 20 000 qui sont toujours accessibles via Copilot et qui appartiennent à des dizaines de milliers d'organisations, y compris certains des plus grands acteurs du secteur technologique.Les conséquences de ces découvertes pourraient être très graves. Le cofondateur de Lasso, Ophir Dror, a déclaré avoir utilisé la faille pour récupérer un GitHub hébergeant un outil permettant de créer des images d'IA « offensantes et nuisibles » à l'aide du service d'IA cloud de MIcrosoft. Différents secrets d'entreprise pourraient également être exposés de cette manière, ce qui a incité Ophir Dror à conseiller aux victimes de faire pivoter ou de révoquer leurs clés privées.Microsoft aurait dit à l'entreprise que le problème était « de faible gravité » et que le comportement du cache était « acceptable ». Toutefois, depuis décembre 2024, Microsoft n'inclut plus de liens vers le cache de Bing dans ses résultats de recherche et Copilot peut donc toujours accéder aux données.Au-delà des risques de sécurité, l'impact de Copilot sur la qualité du code suscite également de plus en plus d'inquiétudes. Une étude réalisée par la société d'analyse GitClear a révélé que l'utilisation de l'assistant IA GitHub Copilot entraîne une baisse de la qualité globale du code et une quantité importante de code redondant. Les chercheurs ont également constaté une forte augmentation du "code churn", une métrique qui mesure le niveau de modification du code au fil du temps, suggérant un mauvais signe pour la qualité de la base de code.Quelle lecture faites-vous de cette situation ?Trouvez-vous les conclusions de cette recherche menée par Lasso crédibles ou pertinentes ?