Un ver informatique baptisé Miasma vise les outils de développement assistés par l’intelligence artificielle, dont Claude Code, pour dérober les identifiants des développeurs. Il a compromis 73 dépôts GitHub appartenant à Microsoft en moins de deux minutes. Le ver Miasma illustre la vulnérabilité croissante des chaînes d’approvisionnement logicielles.
Selon Numerama, Miasma se distingue par sa capacité à exploiter le modèle de confiance de l’écosystème logiciel moderne plutôt qu’une faille technique. L’entreprise de sécurité StepSecurity a identifié un commit poussé dans un dépôt d’Azure à l’aide d’un compte de contributeur piraté. Cette modification ajoutait des fichiers destinés à exécuter automatiquement du code dès qu’un développeur ouvre le dépôt dans un outil comme Claude Code, Gemini CLI, Cursor ou Visual Studio Code. Cloner le dépôt ne présente pas de risque, mais l’ouvrir en déclenche un.
Pourquoi les outils IA sont particulièrement exposés
Ces assistants exécutent des actions au nom du développeur, comme lire des fichiers, lancer des commandes ou effectuer des requêtes réseau. Un code conçu pour récupérer des identifiants et qui s’exécute dans l’un de ces outils dispose alors des mêmes accès et permissions que la session de l’utilisateur. Le ver cherche ensuite à récupérer clés d’accès aux services cloud, jetons et clés SSH, puis à se propager en republiant des paquets compromis.
Une riposte rapide mais une menace persistante
GitHub a neutralisé les 73 dépôts répartis sur quatre organisations de Microsoft, dont Azure et MicrosoftDocs, grâce à un mécanisme de désactivation automatique déclenché en moins de deux minutes. Les chercheurs rattachent Miasma à une variante de Shai-Hulud, un ver rendu public plus tôt dans l’année. Les entreprises de sécurité recommandent de vérifier les accès GitHub, d’analyser les dépôts suspects et de renouveler régulièrement les jetons d’authentification.
L’épisode Miasma montre que l’essor des outils de développement IA élargit la surface d’attaque des organisations. La confiance accordée à ces assistants, capables d’agir de façon autonome, impose désormais une vigilance accrue sur la provenance du code et la gestion des secrets.
X-Pression Academy
Maitrisez l’intelligence artificielle au service du journalisme et de la creation.
Formations pratiques a l’IA generative, a l’automatisation editoriale et aux outils de pointe. Apprenez a produire plus vite, mieux, et en gardant le controle.
