Récemment, l'assistant de programmation à base d'intelligence artificielle d'Amazon, Amazon Q, a connu un événement de sécurité majeur, avec une intrusion réussie par des hackers dans son système largement utilisé via l'extension Visual Studio Code. Cet incident a mis en évidence des graves vulnérabilités de sécurité lors de l'intégration d'outils d'intelligence artificielle dans le processus de développement logiciel, ce qui doit inciter la communauté des développeurs à réfléchir profondément.
Note sur la source de l'image : l'image a été générée par l'IA, le service de licence est Midjourney
On apprend que les attaquants ont injecté du code non autorisé dans le dépôt GitHub open source d'Amazon Q en utilisant une demande de fusion apparemment normale. Ce code malveillant contenait des instructions pouvant entraîner la suppression des fichiers des utilisateurs et la vidange des ressources cloud liées au compte Amazon Web Services si elles étaient activées. Cette attaque a été découverte dans la version 1.84.0 de l'extension Amazon Q publiée le 17 juillet, cette version ayant été distribuée à près d'un million d'utilisateurs.
Amazon n'a pas immédiatement détecté l'intrusion, puis a retiré la version affectée. Cependant, l'entreprise n'a pas publié de déclaration publique concernant cet incident, une décision qui a suscité des interrogations chez de nombreux experts en sécurité et développeurs, exprimant leurs inquiétudes quant à la transparence. Corey Quinn, économiste principal en informatique en nuage chez Duckbill Group, a critiqué sur les réseaux sociaux cette approche, affirmant qu'il ne s'agissait pas d'une "réaction rapide", mais plutôt de laisser des inconnus définir la trajectoire de l'entreprise.
Encore plus choquant, le pirate a ouvertement moqué les mesures de sécurité d'Amazon, les qualifiant de "théâtre de sécurité", suggérant que les mécanismes de défense existants ne sont qu'une façade sans effet réel. Steven Vaughan-Nichols, expert technique, a souligné que cet incident relève davantage de la réflexion sur la manière dont Amazon gère ses processus open source, car un dépôt de code ouvert ne garantit pas la sécurité, la clé étant de gérer correctement le contrôle d'accès et la revue de code.
Le pirate a expliqué que le code implanté était en fait conçu pour être inoffensif, afin d'alerter Amazon sur ses failles et de l'inciter à améliorer ses mesures de sécurité. Selon l'équipe de sécurité d'Amazon, en raison d'une erreur technique, ce code malveillant n’a pas pu s’exécuter comme prévu. L’entreprise a ensuite récupéré les identifiants volés, supprimé le code malveillant et publié une nouvelle version propre de l’extension. Dans son communiqué, Amazon a souligné que la sécurité est sa priorité absolue et a confirmé qu’aucune ressource client n’a été touchée, tout en recommandant aux utilisateurs de mettre à jour vers la version 1.85.0 ou supérieure.
Cet incident met en garde contre l'importance de la revue du code et de la gestion des dépôts lors de l'intégration d'agents d'intelligence artificielle dans les processus de développement, afin de réduire les risques potentiels.
Points clés :
🔒 Les attaquants ont piraté Amazon Q via une demande de fusion, pouvant entraîner la suppression des fichiers des utilisateurs.
🚨 Amazon n’a pas immédiatement découvert le problème, puis a retiré la version affectée, provoquant des doutes chez les experts en sécurité.
⚠️ Le pirate affirme avoir agi pour dénoncer les faiblesses de la sécurité d'Amazon, sans causer de dommages réels.