Plus de 30 Failles Découvertes dans les Outils de Codage IA : Vol de Données et Exécution de Code à Distance

Une Menace Majeure pour les Environnements de Développement Modernes

Le 6 décembre 2025, une découverte alarmante a secoué le monde de la cybersécurité et du développement logiciel. Plus de 30 vulnérabilités de sécurité ont été révélées dans divers environnements de développement intégré (IDE) alimentés par l’intelligence artificielle, exposant potentiellement des millions de développeurs à des risques de vol de données et d’exécution de code à distance.

Ces failles, qui combinent des primitives d’injection de prompt avec des fonctionnalités légitimes des IDE, ont été baptisées IDEsaster par le chercheur en sécurité Ari Marzouk (MaccariTA). Elles affectent certains des outils de développement les plus populaires utilisés par les programmeurs du monde entier.

Les Outils Affectés : Un Écosystème Entier Compromis

La liste des plateformes vulnérables est particulièrement préoccupante car elle inclut certains des IDE et extensions les plus utilisés dans l’industrie du développement logiciel :

Outils Majeurs Compromis

Cursor – Un IDE populaire alimenté par l’IA

Windsurf – Plateforme de développement collaborative

Kiro.dev – Environnement de codage assisté par IA

GitHub Copilot – L’assistant de codage IA de Microsoft

Zed.dev – Éditeur de code moderne et performant

Roo Code – Outil de génération de code IA

Junie (JetBrains) – Extension pour les IDE JetBrains

Cline – Assistant de codage IA

Claude Code – Outil de développement basé sur Claude d’Anthropic

Au total, 24 de ces vulnérabilités ont reçu des identifiants CVE (Common Vulnerabilities and Exposures), soulignant la gravité et la reconnaissance officielle de ces problèmes de sécurité.

Une Découverte Surprenante : L’Ampleur du Problème

“Je pense que le fait que plusieurs chaînes d’attaque universelles aient affecté tous les IDE IA testés est la découverte la plus surprenante de cette recherche”, a déclaré Ari Marzouk à The Hacker News.

Le chercheur souligne un point crucial : “Tous les IDE IA (et les assistants de codage qui s’y intègrent) ignorent effectivement le logiciel de base (IDE) dans leur modèle de menace. Ils traitent leurs fonctionnalités comme intrinsèquement sûres parce qu’elles existent depuis des années. Cependant, une fois que vous ajoutez des agents IA capables d’agir de manière autonome, les mêmes fonctionnalités peuvent être transformées en armes pour l’exfiltration de données et les primitives d’exécution de code à distance.”

L’Anatomie d’une Attaque : Une Triple Menace

Les vulnérabilités IDEsaster reposent sur l’enchaînement de trois vecteurs d’attaque distincts, tous courants dans les IDE alimentés par l’IA :

1. Contournement des Garde-fous des LLM

La première étape consiste à contourner les protections d’un grand modèle de langage (LLM) pour détourner le contexte et exécuter les instructions de l’attaquant. Cette technique, connue sous le nom d’injection de prompt, permet à un acteur malveillant de manipuler le comportement du modèle d’IA.

2. Actions Automatiques Sans Interaction Utilisateur

Les agents IA modernes peuvent effectuer certaines actions via des appels d’outils pré-approuvés automatiquement, sans nécessiter d’intervention de l’utilisateur. Cette fonctionnalité, conçue pour améliorer la productivité, devient une faiblesse exploitable lorsqu’elle est combinée avec d’autres vulnérabilités.

3. Exploitation des Fonctionnalités Légitimes de l’IDE

La troisième composante consiste à déclencher des fonctionnalités légitimes de l’IDE qui permettent à un attaquant de franchir la limite de sécurité pour exfiltrer des données sensibles ou exécuter des commandes arbitraires.

Ce Qui Rend IDEsaster Unique

Ces vulnérabilités se distinguent des chaînes d’attaque précédentes qui exploitaient les injections de prompt en conjonction avec des outils vulnérables. Ce qui rend IDEsaster particulièrement dangereux, c’est qu’il prend les primitives d’injection de prompt et les outils d’un agent, les utilisant pour activer des fonctionnalités légitimes de l’IDE afin de provoquer des fuites d’informations ou l’exécution de commandes.

Vecteurs d’Injection de Contexte

Le détournement de contexte peut être réalisé de multiples façons :

Références de contexte ajoutées par l’utilisateur : URLs collées ou texte contenant des caractères cachés invisibles à l’œil humain mais analysables par le LLM

Empoisonnement via Model Context Protocol (MCP) : Utilisation d’un serveur MCP par empoisonnement d’outils ou “rug pulls”

Sources externes contrôlées par l’attaquant : Lorsqu’un serveur MCP légitime analyse une entrée contrôlée par l’attaquant

Exemples d’Attaques Concrètes : Des Scénarios Réels

Attaque 1 : Exfiltration de Données via Schéma JSON

Vulnérabilités concernées : CVE-2025-49150 (Cursor), CVE-2025-53097 (Roo Code), CVE-2025-58335 (JetBrains Junie), GitHub Copilot, Kiro.dev, Claude Code

Méthode d’attaque :

Utilisation d’une injection de prompt pour lire un fichier sensible via un outil légitime (“read_file”) ou vulnérable (“search_files” ou “search_project”)

Écriture d’un fichier JSON via un outil légitime (“write_file” ou “edit_file”) avec un schéma JSON distant hébergé sur un domaine contrôlé par l’attaquant

L’IDE effectue une requête GET, provoquant la fuite des données vers le serveur de l’attaquant

Attaque 2 : Exécution de Code via Paramètres de l’IDE

Vulnérabilités concernées : CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Roo Code), CVE-2025-55012 (Zed.dev), Claude Code

Méthode d’attaque :

Injection de prompt pour modifier les fichiers de configuration de l’IDE (“.vscode/settings.json” ou “.idea/workspace.xml”)

Définition de “php.validate.executablePath” ou “PATH_TO_GIT” vers le chemin d’un fichier exécutable contenant du code malveillant

Exécution automatique du code malveillant lors de certaines opérations de l’IDE

Attaque 3 : Exécution de Code via Configuration de l’Espace de Travail

Vulnérabilités concernées : CVE-2025-64660 (GitHub Copilot), CVE-2025-61590 (Cursor), CVE-2025-58372 (Roo Code)

Méthode d’attaque :

Injection de prompt pour modifier les fichiers de configuration d’espace de travail (*.code-workspace)

Remplacement des paramètres d’espace de travail multi-racines pour exécuter du code arbitraire

Exploitation du fait que les agents IA sont configurés par défaut pour auto-approuver les écritures de fichiers dans l’espace de travail

Cette dernière attaque est particulièrement insidieuse car elle ne nécessite aucune interaction utilisateur ni besoin de rouvrir l’espace de travail pour que le code malveillant soit exécuté.

Contexte Plus Large : Une Vague de Vulnérabilités dans les Outils IA

La découverte d’IDEsaster s’inscrit dans un contexte plus large de vulnérabilités découvertes récemment dans les outils de codage alimentés par l’IA :

OpenAI Codex CLI (CVE-2025-61260)

Une faille d’injection de commande dans OpenAI Codex CLI exploite le fait que le programme fait implicitement confiance aux commandes configurées via les entrées de serveur MCP et les exécute au démarrage sans demander la permission de l’utilisateur. Cela peut conduire à l’exécution de commandes arbitraires lorsqu’un acteur malveillant peut altérer les fichiers “.env” et “./.codex/config.toml” du dépôt.

Google Antigravity : Multiples Vulnérabilités

Plusieurs problèmes de sécurité ont été découverts dans Google Antigravity :

Injection de prompt indirecte : Utilisation d’une source web empoisonnée pour manipuler Gemini afin de collecter des identifiants et du code sensible depuis l’IDE de l’utilisateur et exfiltrer les informations via un sous-agent de navigateur vers un site malveillant

Exfiltration de données et exécution de code à distance : Via des injections de prompt indirectes et l’exploitation d’espaces de travail de confiance malveillants pour intégrer une porte dérobée persistante exécutant du code arbitraire à chaque lancement de l’application

PromptPwnd : Une Nouvelle Classe de Vulnérabilité

Une nouvelle catégorie de vulnérabilité nommée PromptPwnd cible les agents IA connectés à GitHub Actions (ou aux pipelines CI/CD GitLab) vulnérables. Des injections de prompt sont utilisées pour les tromper et les amener à exécuter des outils privilégiés intégrés conduisant à des fuites d’informations ou à l’exécution de code.

Recommandations pour les Développeurs

Face à ces menaces, Ari Marzouk propose plusieurs recommandations essentielles :

Pour les Utilisateurs d’IDE IA

Utiliser les IDE IA uniquement avec des projets et fichiers de confiance

Les fichiers de règles malveillants, les instructions cachées dans le code source ou d’autres fichiers (README), et même les noms de fichiers peuvent devenir des vecteurs d’injection de prompt

Se connecter uniquement à des serveurs MCP de confiance

Surveiller en permanence ces serveurs pour détecter les modifications (même un serveur de confiance peut être compromis)

Examiner et comprendre le flux de données des outils MCP

Examiner manuellement les sources ajoutées

Vérifier les URLs et autres sources pour détecter les instructions cachées (commentaires HTML, texte masqué en CSS, caractères Unicode invisibles, etc.)

Pour les Développeurs d’Agents IA et d’IDE IA

Appliquer le principe du moindre privilège aux outils LLM

Minimiser les vecteurs d’injection de prompt

Renforcer le prompt système

Utiliser le sandboxing pour exécuter les commandes

Effectuer des tests de sécurité pour détecter :

Les traversées de chemin (path traversal)

Les fuites d’informations

Les injections de commandes

Le Concept de “Secure for AI” : Un Nouveau Paradigme

Marzouk souligne l’importance d’un nouveau paradigme qu’il a baptisé “Secure for AI”. Ce concept vise à s’attaquer aux défis de sécurité introduits par les fonctionnalités IA, en veillant à ce que les produits soient non seulement sécurisés par défaut et sécurisés dès la conception, mais aussi conçus en tenant compte de la façon dont les composants IA peuvent être exploités au fil du temps.

“C’est un autre exemple de la raison pour laquelle le principe ‘Secure for AI’ est nécessaire”, a déclaré Marzouk. “Connecter des agents IA à des applications existantes (dans mon cas, l’IDE, dans leur cas, GitHub Actions) crée de nouveaux risques émergents.”

Impact sur les Entreprises : Une Surface d’Attaque Élargie

Alors que les outils IA agentiques deviennent de plus en plus populaires dans les environnements d’entreprise, ces découvertes démontrent comment les outils IA élargissent la surface d’attaque des machines de développement. Le problème principal réside dans l’incapacité d’un LLM à distinguer entre :

Les instructions fournies par un utilisateur pour accomplir une tâche

Le contenu qu’il peut ingérer depuis une source externe, qui peut contenir un prompt malveillant intégré

Risques pour la Chaîne d’Approvisionnement

“Tout dépôt utilisant l’IA pour le triage des problèmes, l’étiquetage des PR, les suggestions de code ou les réponses automatisées est à risque”, a averti Rein Daelman, chercheur chez Aikido. Les menaces incluent :

Injection de prompt

Injection de commande

Exfiltration de secrets

Compromission du dépôt

Compromission de la chaîne d’approvisionnement en amont

Les Cas d’Usage les Plus Vulnérables

Certains scénarios d’utilisation sont particulièrement à risque :

Développement Collaboratif

Les équipes travaillant sur des projets collaboratifs avec des pull requests et des revues de code automatisées sont particulièrement exposées. Un attaquant pourrait injecter du code malveillant via des commentaires de PR qui seront traités par l’agent IA.

Intégration Continue / Déploiement Continu (CI/CD)

Les pipelines CI/CD qui utilisent des agents IA pour automatiser des tâches de déploiement ou de test peuvent être compromis, permettant à un attaquant d’injecter du code malveillant directement dans les environnements de production.

Analyse de Code Automatisée

Les outils d’analyse de code alimentés par l’IA qui examinent automatiquement les dépôts peuvent être trompés pour exfiltrer du code propriétaire ou des secrets vers des serveurs contrôlés par des attaquants.

Réponses des Fournisseurs et Correctifs

Face à ces révélations, plusieurs fournisseurs ont réagi :

Claude Code (Anthropic)

Anthropic a publié un avertissement de sécurité dans sa documentation, reconnaissant les risques et fournissant des lignes directrices aux utilisateurs pour se protéger.

Autres Fournisseurs

De nombreux éditeurs ont commencé à déployer des correctifs de sécurité pour les CVE identifiés, bien que le processus soit encore en cours pour plusieurs plateformes.

Implications pour l’Avenir du Développement Assisté par IA

Cette découverte soulève des questions importantes sur l’avenir du développement logiciel assisté par l’IA :

1. Nécessité d’un Nouveau Modèle de Sécurité

Les modèles de sécurité traditionnels ne suffisent plus. Les IDE et les outils de développement doivent être repensés en tenant compte de la présence d’agents IA autonomes capables d’exécuter des actions sans supervision directe.

2. Tension entre Productivité et Sécurité

L’automatisation apportée par les agents IA améliore considérablement la productivité des développeurs, mais cette commodité ne doit pas se faire au détriment de la sécurité. Un équilibre doit être trouvé.

3. Formation et Sensibilisation

Les développeurs doivent être formés aux risques spécifiques liés aux outils de développement alimentés par l’IA. La compréhension des vecteurs d’attaque comme l’injection de prompt devient une compétence essentielle.

4. Évolution des Standards de Sécurité

Les organismes de normalisation et les régulateurs devront probablement développer de nouveaux cadres et standards spécifiquement adaptés à la sécurité des systèmes d’IA agentiques.

Mesures de Protection Immédiates

En attendant des correctifs complets et des solutions à long terme, voici quelques mesures que les organisations et les développeurs peuvent prendre immédiatement :

Pour les Organisations

Audit des outils utilisés : Identifier tous les IDE et assistants de codage IA utilisés dans l’organisation

Politique d’utilisation : Établir des politiques claires sur l’utilisation des outils IA pour le développement

Surveillance : Mettre en place une surveillance des connexions aux serveurs MCP et des activités inhabituelles

Isolation : Utiliser des environnements de développement isolés pour les projets sensibles

Formation : Former les équipes aux risques d’injection de prompt et aux bonnes pratiques

Pour les Développeurs Individuels

Vigilance : Rester vigilant lors de l’ajout de contexte externe à l’IA

Vérification : Vérifier manuellement les modifications suggérées par l’IA avant de les accepter

Limitation : Limiter les permissions accordées aux outils IA

Mise à jour : Maintenir tous les outils à jour avec les derniers correctifs de sécurité

Isolement des données sensibles : Éviter de travailler sur des projets contenant des données sensibles avec des IDE IA non sécurisés

L’Importance de la Divulgation Responsable

Il est important de noter que ces vulnérabilités ont été découvertes et divulguées de manière responsable par Ari Marzouk. Cette approche permet aux fournisseurs de développer et de déployer des correctifs avant que les détails techniques complets ne soient rendus publics, minimisant ainsi la fenêtre d’opportunité pour les acteurs malveillants.

Conclusion : Un Tournant pour la Sécurité des Outils de Développement

La découverte d’IDEsaster marque un tournant important dans notre compréhension de la sécurité des outils de développement alimentés par l’IA. Ces 30+ vulnérabilités révèlent que l’intégration de l’intelligence artificielle dans les environnements de développement crée des vecteurs d’attaque entièrement nouveaux qui n’existaient pas auparavant.

Le message clé est que les fonctionnalités qui étaient considérées comme sûres pendant des années deviennent soudainement des primitives d’attaque lorsqu’elles sont combinées avec des agents IA autonomes capables d’agir sans supervision directe. Cette réalité nécessite une refonte fondamentale de notre approche de la sécurité des outils de développement.

Vers un Avenir Plus Sûr

Pour que les outils de développement alimentés par l’IA atteignent leur plein potentiel tout en restant sûrs, plusieurs évolutions sont nécessaires :

Adoption généralisée du principe “Secure for AI” : Les développeurs de produits doivent systématiquement considérer comment les composants IA peuvent être exploités

Collaboration industrie-recherche : Les chercheurs en sécurité et les développeurs d’outils IA doivent travailler ensemble pour anticiper et prévenir les nouvelles classes de vulnérabilités

Standards et régulations : Des frameworks de sécurité spécifiques aux systèmes IA doivent être développés et adoptés

Éducation continue : Les développeurs doivent être formés en permanence aux nouveaux risques de sécurité liés à l’IA

Un Appel à l’Action

IDEsaster n’est pas simplement une liste de bugs à corriger. C’est un signal d’alarme qui nous rappelle que l’intégration de l’IA dans nos outils quotidiens nécessite une vigilance constante et une approche proactive de la sécurité. Les développeurs, les organisations et les fournisseurs d’outils doivent tous jouer leur rôle pour garantir que la révolution de l’IA dans le développement logiciel se déroule de manière sécurisée.

La question n’est pas de savoir si nous devons adopter les outils de développement alimentés par l’IA – cette adoption est déjà en cours et irréversible. La question est de savoir comment nous pouvons le faire en toute sécurité, en protégeant nos données, notre code et nos systèmes contre les nouvelles menaces qui accompagnent ces puissantes technologies.

Les découvertes d’Ari Marzouk nous donnent les connaissances nécessaires pour commencer à répondre à cette question. Il appartient maintenant à l’ensemble de la communauté du développement logiciel de prendre ces avertissements au sérieux et d’agir en conséquence.