Ces derniers temps, on ne parle que d'IA (enfin, on parle de LLM, ou Large Language Model, mais c'est moins vendeur). Les marchés financiers en raffolent et, corollaire évident, les entreprises se démènent pour en ajouter là où elles peuvent. Évidemment, le revers de la médaille de cette course effrénée est l'ajout encore peu maîtrisé de fonctionnalités riches pouvant introduire des vecteurs de compromission au sein d'applications sensibles. Le but de cet article est donc de faire un retour à travers mes audits ainsi que sur l’état de l’art, établi suite aux publications de l’OWASP, afin de déterminer le risque pour une entreprise qui souhaite ajouter de l’IA sous la forme d’un chatbot.

Un jour de novembre 2021, la tempête Log4Shell ou Log4J, s’abat sur le monde (java), les plus grands médias d’informations en continu vont sur le terrain pour interroger développeurs, serveurs… Comment pouvons-nous faciliter la recherche d’une telle vulnérabilité sur toutes nos applications, en cours de développement ou en production ? Trivy va être là, pour nous épauler dans cette fabuleuse enquête des recherches de vulnérabilités via une CI/CD.

Installer un antivirus douteux trouvé sur un store parallèle, se connecter sans réfléchir à un Wi-Fi gratuit dans une gare, laisser une application demander toutes les permissions sans jamais vérifier… Ces pratiques suffisent rarement à un attaquant pour prendre le contrôle d’un smartphone. Là où hier quelques lignes de code ou un APK bricolé ouvraient toutes les portes, il faut désormais composer avec des mécanismes de défense de plus en plus solides : durcissement du noyau Android, sandboxing, renforcement des stores officiels, initiatives comme Play Protect, sécurité déportée au niveau des API et parfois un SOC prêt à réagir dès qu’un comportement suspect émerge.

Nous utilisons tous énormément de librairies pour nos frameworks et CMS, ce qui nous rend vulnérables au nombre de failles de sécurité toujours plus nombreuses. Ceci exige de notre part un suivi et une remontée performante des vulnérabilités sur les projets pour que l’on puisse réagir efficacement.