L’IA générative est désormais fermement ancrée dans de nombreux flux de travail, et il en va de même pour Wildix. Nous utilisons des outils d’IA pour faciliter le processus de création de contenu et d’emails, supervisé par notre équipe de rédaction, et nos développeurs utilisent des outils d’IA pour créer du code. Même notre CEO utilise l’IA pour affiner les communications écrites et s’assurer que tout est clair.
Tout cela se déroule sous l’œil vigilant de professionnels qualifiés qui comprennent les systèmes qu’ils utilisent et leurs limites. Voyons donc ce qui se passe lorsque les développeurs utilisent l’IA sans surveillance appropriée.
Quelques statistiques : Les développeurs et l’IA
L’une des plus grandes enquêtes demandant l’avis des programmeurs en 2023 a été créée par Zero to Mastery, une ressource complète pour les développeurs cherchant à améliorer leurs compétences. L’entreprise y décrit comment :
- 84,4 % des programmeurs utilisent des outils d’IA.
- Le plus courant est ChatGPT avec 74,9 % qui l’utilisent chaque semaine.
- 58,5 % utilisent l’IA pour écrire du code.
- 36,6 % de ceux qui n’utilisent pas l’IA disent que c’est la courbe d’apprentissage qui les rebute.
- 13,4 % de ceux qui n’utilisent pas l’IA déclarent que la précision est préoccupante.
- 77,8 % des programmeurs estiment que les outils d’IA ont un impact positif.
Dans l’ensemble, cela dresse un tableau positif de l’utilisation de l’IA par des développeurs qualifiés. Et tant que les développeurs en question comprennent la base du code qu’ils utilisent et peuvent le tester, il n’y a pas de problème. Le problème survient lorsque les codeurs sont poussés à utiliser l’IA, qu’ils ne comprennent pas très bien ce qu’ils font et que du code douteux ou bogué se retrouve dans la base de code.
Les risques du code IA
« Un grand développeur avec ChatGPT, c’est encore mieux », a déclaré Dimitri Osler, fondateur et CTO de Wildix. « Mais c’est aussi un risque énorme entre les mains de développeurs inexpérimentés ou d’entreprises qui n’effectuent pas les contrôles de sécurité et de qualité requis. Le potentiel pour les développeurs d’utiliser un code qu’ils ne comprennent pas ou qu’ils ne peuvent pas prendre en charge ou maintenir est énorme. »
De notre point de vue, l’IA est un outil de plus. Son utilisation n’est ni bonne ni mauvaise – c’est plutôt la manière dont elle est utilisée qui peut être bonne ou mauvaise. Il en va de même pour des outils tels que Stack Overflow ou GitHub :
- Stack Overflow est un forum de questions-réponses où les développeurs peuvent obtenir des avis et des réponses concernant leur code.
- GitHub est un dépôt où les développeurs peuvent partager du code et collaborer sur des projets.
L’utilisation de ces deux outils s’accompagne d’une certaine dose de risque. Les spéculations initiales autour de la brèche de 3CX en mars 2023 ont suggéré qu’elle provenait d’un dépôt de code GitHub infecté, bien que cela se soit avéré faux par la suite. En effet, GitHub lui-même était vulnérable à l’exploitation par le biais d’une technique RepoJacking, dans laquelle des acteurs malveillants pouvaient prendre le contrôle de dépôts en s’emparant du nom d’utilisateur qui y était associé. Ils remplaçaient ensuite ces dépôts par du code malveillant. Ce problème a été corrigé depuis.
Tout cela signifie que les codes malveillants n’ont rien de nouveau. Cependant, l’IA aggrave potentiellement un problème existant.
« Le meilleur résultat pour un code d’IA mal créé est qu’il ne fonctionne tout simplement pas », ajoute Dimitri. « Le code est rejeté et un nouveau code doit être généré, avec l’espoir qu’il fonctionne cette fois. Dans le pire des cas, il fonctionne initialement avec la base de code mais génère un exploit parce que personne n’a eu le temps de tester ce qu’il fait réellement ».
La clé de la sécurité des systèmes réside donc dans des tests réguliers effectués par des développeurs hautement qualifiés. En mars 2023, Dimitri avait ces mots à dire : « La sécurité n’est pas bon marché. Les MSPs ne peuvent tout simplement plus se permettre de prendre des risques, et votre réputation en prendra un coup si vous optez pour l’option la moins chère. »
Ces mots faisaient référence à la faille de 3CX, et cette attaque a causé beaucoup de stress et d’inquiétude à la fois pour les MSPs et pour leurs utilisateurs finaux. Il semble qu’une partie du problème vienne du fait que le code a été inséré sans tests appropriés, ce qui est l’un des grands problèmes des produits VoIP bon marché qui doivent réduire les coûts autant que possible pour rester dans les limites de leur prix.
L’IA peut également accélérer considérablement les tests. « Nous utilisons des outils d’IA pour automatiser certains tests, simplement parce qu’ils permettent de vérifier rapidement l’intégrité du code », explique Dimitri. « Il s’agit d’une couche supplémentaire à nos processus, et non d’un remplacement, mais cela accélère le processus car l’assurance qualité dispose d’un code plus propre à examiner. »
En fin de compte, le code d’IA nécessitera des développeurs extrêmement expérimentés pour superviser le processus, d’autant plus qu’il est souvent difficile de savoir comment le code original a été créé par le logiciel d’IA. Prendre des raccourcis en matière de sécurité n’est tout simplement pas une option pour Wildix, d’autant plus que tant d’utilisateurs dépendent de nos systèmes.
« Un régime de test approfondi est nécessaire, que vous utilisiez un code d’IA ou non », note Dimitri. « L’IA est simplement un outil à utiliser, et ce sont les processus qui l’entourent qui déterminent si vous l’utilisez bien ou mal. »
Le code d’IA est là pour rester, et c’est aux entreprises de trouver un moyen de l’utiliser sans compromettre leurs utilisateurs.
Pour plus d’informations sur la sécurité et notre philosophie « secure-by-design », abonnez-vous gratuitement à notre magazine !