Manuel d'alchimie du code
Note : Ce contenu faisait auparavant partie du site web ouimaisjellm.ca. Il a été importé ici pour archivage.
Un enjeu réel pour ton entreprise, surtout si tes employé·es (ou toi) se sont mis au “Vibe Coding”, c’est les attaques de chaîne d’approvisionnement.
Le code de l’agent Claude Code a par erreur été dévoilé sur le site web NPM qui héberge des logiciels pour Node.JS écrits en JavaScript et TypeScript. Suite à cette fuite, de nombreuses copies du code ont été faites et plusieurs se sont retrouvées sur GitHub. Plusieurs d’entre elles incluent aussi l’ajout de logiciels malveillants conçus pour voler les identifiants et d’autres fichiers de ton ordinateur. Ces copies modifiées sont difficiles à identifier par rapport à la fuite originale, étant donné qu’elle a été supprimée et que de nombreux répertoires ont été fermés par GitHub.
C’est ce qu’on appelle une attaque par chaîne d’approvisionnement. De plus en plus, les groupes cybercriminels cachent leurs logiciels malveillants dans les dépôts de librairies de code ou des logiciels couramment utilisées par les développeurs. C’est un moyen qui leur permet d’avoir plus facilement accès à des comptes privilégiés de développeurs qui ont souvent accès aux bases de données.
Pour contrer ça, il faut s’assurer d’utiliser les dépôts officiels des projets, et dans le cas de logiciels privatifs comme Claude Code, la version officielle téléchargée depuis leur site web, comme il ne s’agit pas d’un projet de logiciel libre. En entreprise, on va privilégier les dépôts de librairies “managées” comme Artifactory ou Anaconda, ou encore le “version pinning” (avec des fichiers lock) pour éviter d’installer de nouvelles versions non validées alors qu’une ancienne version qu’on a eu le temps de valider fait le travail.
Voici l’analyse de l’entreprise de cybersécurité Zscaler sur le sujet.
https://www.zscaler.com/blogs/security-research/anthropic-claude-code-leak
La leçon à retenir ici c’est, comme depuis toujours, de ne pas installer n’importe quoi sur son ordinateur, et encore moins du code ou des logiciels qui proviennent vraisemblablement de groupes cybercriminels.
