Claude Code, Copilot et Codex ont tous été piratés : les attaquants visaient les identifiants, pas le modèle
En l'espace de quelques jours fin mars 2026, trois des principaux agents de codage IA ont été compromis. Le 30 mars, le chercheur Tyler Jespersen de BeyondTrust a démontré qu'un simple nom de branche GitHub pouvait forcer Codex d'OpenAI à exfiltrer son token OAuth en clair : en injectant une sous-commande via un point-virgule et des backticks dans le paramètre de nom de branche, le script de clonage devenait un vecteur d'exfiltration. Pour masquer l'attaque, 94 caractères "Ideographic Space" (Unicode U+3000) rendaient la branche malveillante visuellement identique à "main" dans l'interface Codex. OpenAI a classé la faille Critical P1 et livré un correctif complet le 5 février 2026. Deux jours plus tard, le code source de Claude Code d'Anthropic se retrouvait sur le registre npm public. Dans la foulée, Adversa découvrait que Claude Code cessait silencieusement d'appliquer ses règles de blocage dès qu'une commande dépassait 50 sous-commandes, un compromis délibéré entre sécurité et performance. Trois CVE distincts ont touché Claude Code en parallèle : CVE-2026-25723 permettait de contourner le sandbox via des commandes chaînées sed/echo ; CVE-2026-33068 permettait à un dépôt malveillant de pré-configurer le mode bypassPermissions dans .claude/settings.json avant même que la boîte de dialogue de confiance n'apparaisse. Côté Microsoft, Johann Rehberger a prouvé que des instructions cachées dans une description de pull request pouvaient activer l'auto-approbation dans les paramètres VS Code de Copilot, accordant une exécution shell illimitée sur Windows, macOS et Linux. Orca Security a ensuite montré qu'un simple ticket GitHub suffisait à faire exfiltrer le GITHUB_TOKEN privilégié par Copilot dans GitHub Codespaces.
Ce qui unit toutes ces attaques, c'est l'identique surface d'entrée : non pas le modèle de langage, mais le credential qu'il détient et qu'il utilise sans session humaine pour l'ancrer. Merritt Baer, CSO d'Enkrypt AI et ancienne Deputy CISO chez AWS, résume le problème : les entreprises croient avoir "approuvé" un fournisseur d'IA, mais elles n'ont approuvé qu'une interface, pas le système sous-jacent. Ce sont les credentials sous cette interface qui constituent la vraie surface d'attaque. Un agent compromis n'a pas besoin d'exploiter le modèle, il lui suffit d'hériter des droits d'accès de l'environnement dans lequel il s'exécute pour prendre le contrôle d'un dépôt entier.
Ces incidents s'inscrivent dans une série de neuf mois commencée à Black Hat USA 2025, où Michael Bargury, CTO de Zenity, avait détourné en direct ChatGPT, Microsoft Copilot Studio, Google Gemini, Salesforce Einstein et Cursor via un MCP Jira, sans aucun clic utilisateur. Six équipes de recherche ont depuis publié des exploits contre Codex, Claude Code, Copilot et Vertex AI, tous suivant le même schéma. L'enjeu n'est plus théorique : les agents de codage sont désormais branchés sur des pipelines CI/CD réels, disposent de tokens avec des droits d'écriture sur des dépôts de production, et opèrent avec une supervision humaine minimale. Tant que l'autorisation restera aussi plate que celle d'un LLM et que les règles de sécurité pourront être contournées par un simple dépassement de seuil arbitraire, les tokens resteront la cible de choix.
Les développeurs et entreprises européens utilisant Claude Code, GitHub Copilot ou Codex dans leurs pipelines CI/CD sont exposés à des risques de vol de tokens et de compromission de dépôts de production, nécessitant une révision immédiate des permissions accordées à ces agents IA.
Trois agents, trois failles, même surface d'attaque : le token, pas le modèle. C'est un peu gênant de voir qu'on reproduit les mêmes erreurs d'OAuth mal configuré qu'il y a dix ans, juste avec plus de puissance de feu et des droits d'écriture sur des dépôts de production. On a déployé avant de comprendre, et maintenant on ramasse.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
