Assistants de codage IA : comment vos lignes de code fuient secrètement vers la Chine

Aurélien Fontevive

Assistants de codage IA : comment vos lignes de code fuient secrètement vers la Chine

En 2026, un rapport inédit a mis en lumière une menace que la plupart des développeurs ignorent : les assistants de codage IA intégrés à leurs environnements de travail peuvent transmettre, sans le moindre avertissement, l’intégralité du code qu’ils analysent vers des serveurs situés en Chine. Cette exfiltration massive touche plus d’un million et demi de développeurs français et européens, compromettant propriété intellectuelle, secrets d’entreprise et conformité réglementaire. Dans cet article, nous décortiquons les mécanismes, évaluons l’impact sur le marché français, et vous proposons un plan d’action détaillé pour sécuriser votre chaîne d’approvisionnement logicielle.

Risques de l’exfiltration de code vers la Chine

Mécanismes d’exfiltration détectés

Les investigations menées par le laboratoire de sécurité de Koi AI ont identifié trois canaux d’exfiltration actifs dans deux extensions VS Code très répandues : « ChatGPT - 中文版 » et « ChatMoss (CodeMoss) ».

  1. Surveillance en temps réel : chaque frappe de clavier est capturée et envoyée via une connexion HTTPS chiffrée vers un point d’entrée en Chine.
  2. Collecte massive de fichiers : les extensions peuvent récupérer jusqu’à 50 fichiers simultanément, incluant des fichiers de configuration, des clés API et du code propriétaire.
  3. Moteur de profilage : les métadonnées (nom de l’entreprise, projet en cours, localisation) sont agrégées pour créer un profil détaillé de l’utilisateur.

« Les extensions VS Code peuvent exfiltrer jusqu’à 50 fichiers simultanément, y compris vos secrets et vos crédentials », Koi AI, 2026.

Ces techniques sont discrètes : aucune alerte n’est déclenchée dans l’IDE, et les flux de données sont camouflés parmi le trafic légitime d’Internet. En pratique, chaque sauvegarde, chaque suggestion de code devient une source potentielle d’information pour un acteur étranger.

Impact sur la propriété intellectuelle

Lorsque le code source d’une société est transféré hors-frontière, plusieurs risques se superposent :

  • Vol de secrets industriels : les algorithmes propriétaires, les modèles de données et les implémentations uniques peuvent être réutilisés par des concurrents ou des entités étatiques.
  • Violation du RGPD : les développeurs intègrent souvent des données personnelles dans leurs bases de test. Leur transfert non autorisé constitue une transgression du règlement européen.

Découvrez comment l’espionnage économique par l’IA a conduit à la condamnation d’un ancien ingénieur Google, et les leçons pour les entreprises françaises : Espionnage économique IA – condamnation d’un ancien ingénieur Google – leçons pour les entreprises françaises.

  • Perte de confiance : les clients et partenaires exigent une chaîne d’approvisionnement sécurisée. Une fuite de code peut entraîner la rupture de contrats et des sanctions financières.

Selon l’ANSSI, 42 % des incidents de sécurité en 2025 proviennent de composants tiers mal contrôlés, dont les extensions d’IDE. Cette statistique souligne l’importance de vérifier chaque bit de code introduit dans le processus de développement.

Contexte du marché français des assistants de codage IA

Adoption par les développeurs français

Le rapport de Koi AI indique que 1,5 million de développeurs en Europe ont installé les deux extensions incriminées, soit une hausse de 23 % par rapport à l’année précédente. En France, les chiffres sont similaires : près de 300 000 professionnels du logiciel utilisent quotidiennement des assistants IA pour accélérer leurs livrables.

Cette adoption massive s’explique par les promesses de productivité : les outils prétendent multiplier par dix la vitesse de rédaction de code, réduire les bugs et automatiser les revues de pull-request. Cependant, la culture de l’open-source et la facilité d’installation ont créé un terrain propice à la diffusion de logiciels malveillants.

Cadre réglementaire (ANSSI, RGPD)

En France, la Stratégie nationale pour la cybersécurité 2024-2028 impose aux éditeurs et aux utilisateurs de logiciels de respecter les exigences suivantes :

  • Analyse de la chaîne d’approvisionnement : chaque composant doit être évalué selon les critères de l’ANSSI (intégrité, provenance, mise à jour).
  • Déclaration de transfert de données hors UE : tout envoi de données vers un pays tiers doit être documenté et justifié.
  • Mise en conformité RGPD : les traitements de données personnelles doivent être soumis à une évaluation d’impact (DPIA).

Ces obligations offrent un cadre juridique solide, mais leur mise en œuvre reste fragmentée au sein des équipes de développement, souvent pressées par les délais de livraison.

Bonnes pratiques pour sécuriser son environnement de développement

Segmentation et isolation

La première ligne de défense consiste à isoler les environnements de développement des réseaux externes. Voici trois mesures concrètes :

  • Utiliser des machines virtuelles ou des conteneurs Docker dédiés à chaque projet, afin de limiter les privilèges d’accès aux fichiers système.
  • Activer le réseau privé virtuel (VPN) interne pour toutes les communications IDE-serveur, bloquant les connexions directes vers Internet.
  • Déployer des politiques de « Zero Trust » au niveau du gestionnaire d’extensions, en n’autorisant que les plugins signés par des fournisseurs certifiés.

« Les extensions fonctionnent comme des observateurs privilégiés de votre environnement », Rontea, 2026.

Gestion des extensions VS Code

VS Code, l’un des IDE les plus populaires en France, dispose d’un marketplace riche mais peu régulé. Pour réduire le risque :

  1. Auditer régulièrement la liste des extensions installées (menu Extensions → Installed).
  2. Désactiver la télémétrie en ajoutant les paramètres suivants :

Pour en savoir plus sur les risques liés aux mises à jour détournées, consultez Comment la mise à jour de Notepad détournée menace vos données – guide complet.

// .vscode/settings.json
{
  "telemetry.enableTelemetry": false,
  "telemetry.enableCrashReporting": false,
  "extensions.autoCheckUpdates": false,
  "extensions.ignoreRecommendations": true
}
  1. Restreindre les autorisations des extensions via le fichier extensions.json :
// .vscode/extensions.json
{
  "recommendations": [],
  "unwantedRecommendations": ["chatgpt-zh", "codemoss"]
}

Ces réglages empêchent les extensions suspectes d’accéder aux fichiers du projet sans votre consentement explicite.

Mise en œuvre - étapes actionnables

  1. Inventorier les extensions : lancez le script ci-dessus pour extraire toutes les extensions installées et comparez-les à la liste noire (ChatGPT - 中文版, ChatMoss).
  2. Mettre en place une politique de revue de code : chaque modification doit être validée par un audit de sécurité automatisé (ex : SonarQube, CodeQL).
  3. Déployer un système de détection d’exfiltration : utilisez un IDS/IPS capable d’analyser le trafic sortant de l’IDE et d’alerter sur les connexions vers des IP situées en Chine.
  4. Former les équipes : organisez des ateliers mensuels sur la sécurité de la chaîne d’approvisionnement et les bonnes pratiques d’utilisation des IA.
  5. Effectuer des tests de pénétration ciblés sur les environnements de développement afin d’identifier les points faibles résiduels.

Tableau comparatif des deux extensions incriminées

ExtensionRisque d’exfiltrationTypes de données collectéesMéthode de transmission
ChatGPT - 中文版ÉlevéCode source, clés API, secretsHTTPS chiffré vers serveurs CN
ChatMoss (CodeMoss)ÉlevéFichiers projets, métadonnées, identifiantsWebSocket + POST vers CDN chinois

Conclusion - Protégez votre code avant qu’il ne parte

Face à une menace silencieuse qui exploite la confiance des développeurs, la vigilance devient la meilleure arme. En appliquant les mesures d’isolation, en contrôlant strictement les extensions et en renforçant la gouvernance de la chaîne d’approvisionnement, vous limitez les chances que vos lignes de code se retrouvent au cœur d’un pipeline d’intelligence étrangère.

Ne laissez pas la productivité sacrifier la sécurité : auditez, segmentez, formez. Le prochain pas consiste à déployer immédiatement le script d’inventaire présenté plus haut et à instaurer une politique de « Zero Trust » au sein de votre organisation. Ainsi, vous assurez que chaque morceau de code reste sous votre contrôle, et non entre les mains d’acteurs extérieurs.

« Les extensions fonctionnent comme des observateurs privilégiés de votre environnement », Rontea, 2026.

En 2026, la cybersécurité des outils de développement ne peut plus être un simple bonus ; elle doit être intégrée dès la première ligne de code.

Pour approfondir votre compréhension des flux RSS et éviter les erreurs courantes, consultez le guide complet : Résoudre les erreurs de flux RSS – guide complet pour les professionnels du web en 2025.