Recherche sur les menaces : les secrets oubliés de l'IA agentique

Lorsqu'un utilisateur invite Copilot à utiliser une ressource protégée, l'IA de Copilot analyse la requête et détermine quel plugin annonce la "compétence" pertinente (telle que définie dans le manifeste du plugin) à partir de laquelle s'inspirer. Copilot utilise ensuite les identifiants stockés pour effectuer un appel d'API authentifié à l'application tierce, qui récupère les données ou effectue une action et renvoie un résultat à Copilot. Nous avons cherché à comprendre quelles méthodes d'authentification étaient utilisées pour connecter ces ressources protégées (applications de sécurité) à Microsoft Copilot. 5

D'après notre analyse des manifestes de plug-ins tiers publiés sur GitHub, nous avons constaté que :

• 20 % prennent en charge l'authentification de base
• 75 % prennent en charge la méthode ApiKey
• 5 % prennent en charge un flux OAuth2

Les risques associés à l'utilisation d'un plugin IA Copilot dépendent largement (a) du choix de la méthode d'authentification et (b) du périmètre d'accès fourni à l'agent.

Authentification de base

En utilisant l'authentification de base, les administrateurs doivent créer un compte de service dans l'application tierce et télécharger le nom d'utilisateur et le mot de passe sur les serveurs Microsoft. Copilot envoie ensuite le nom d'utilisateur et le mot de passe dans le header de chaque requête à l'application de sécurité (chaque fois que Copilot sélectionne cet outil en fonction d'une invite utilisateur).

Par définition, les comptes d'utilisateur ou de service configurés pour autoriser un agent d'IA à accéder aux ressources via le schéma http:basic (authentification de base) ne peuvent pas prendre en charge l'authentification multifacteur.

Les clients utilisant ce système doivent par conséquent exposer les comptes d'utilisateurs ou de services (qui ont souvent un accès étendu aux données sensibles) aux attaques de credential stuffing et de password spraying. 

APIKey

Trois plugins Microsoft Security Copilot sur quatre peuvent être autorisés à l'aide de la méthode APIKey.

Lors de la configuration, les administrateurs créent un token API à longue durée de vie dans la ressource protégée, qui est généralement créé dans le contexte d'un compte utilisateur ou de service, et téléchargent manuellement le token API sur les serveurs Microsoft. Copilot envoie le jeton API dans l'en-tête de chaque requête HTTP qu'il effectue vers la ressource protégée (c'est-à-dire, chaque fois que Copilot sélectionne cet outil de sécurité en fonction d'une invite utilisateur).

Les clés API statiques offrent plusieurs avantages par rapport à l'authentification de base :

• Les clés API sont plus adaptées aux flux machine à machine. Chaque token API unique peut souvent être configuré pour expirer après une période d'inactivité ou une durée déterminée. La révocation de la clé n'a aucun impact sur le compte d'utilisateur ou de service qui l'a créée.
• L'accès au compte de service utilisé pour créer le token API peut désormais être protégé à l'aide de l'authentification multifacteur.
• Les administrateurs sont plus susceptibles de limiter la « portée » de ce qu'un token API peut être utilisé pour lire ou modifier, par rapport aux autorisations d'un compte de service utilisé pour l'authentification de base.

Les risques résiduels sont que ces tokens API sont généralement de longue durée. Les clés API sont régulièrement enregistrées dans les systèmes de contrôle de code source. Les clés API sont régulièrement stockées dans les logs lorsqu'elles sont défini comme paramètres de requête. Il arrive que des clés API soient enregistrées dans des fichiers texte sur le poste de travail du Developer, prêtes à être collectées par le prochain voleur d'informations générique qui infecte le terminal.

Les tokens d'API statiques sont très prisés par les attaquants, et la première chose que beaucoup d'attaquants recherchent après une compromission du système. Une fois interceptés, ces tokens sont généralement valides pendant de longues périodes, ce qui en fait des candidats idéaux pour la revente sur les marchés en ligne.

Les tokens API statiques présentent également des risques de disponibilité, du moins par rapport aux tokens temporaires créés dans les flux OAuth, car les tokens statiques ont tendance à être créés dans le contexte d'un utilisateur plutôt que d'une application.

Dans de nombreux cas, si l'utilisateur ou le compte de service qui a créé le token est supprimé ou déprovisionné, le token est supprimé avec lui, ce qui perturbe toute intégration M2M qu'il assurait.

OAuth 2

Le petit reste des plugins Microsoft Security Copilot semble utiliser des flux OAuth2 conçu pour les entreprises.

Dans ces stratagèmes, un ID client et un secret client (partagés avec Microsoft) sont échangés avec un serveur d'autorisation pour obtenir un token d'accès de courte durée, qui est validé indépendamment par le serveur de ressources.

Si ces flux ont été créés dans Okta, les tokens d'accès résultants peuvent être limités par IP (valides uniquement à partir d'une plage d'adresses IP configurée) et limités par le client (valides uniquement à partir du client qui l'a demandé). Les étendues sont définies au niveau de l'application de service, pas au niveau de l'utilisateur, ce qui signifie que les administrateurs ne désactivent pas accidentellement les intégrations communications machine to machine lorsqu'un compte administratif ou un compte de service est désapprovisionné.

Bien qu'il soit décevant de constater que si peu d'agents Copilot sont conçus pour l'authentification conçu pour les entreprises, ces choix reflètent également les méthodes d'authentification existantes mises à disposition par les applications de sécurité. Dans le contexte de l'intégration avec un seul outil Al propriétaire, ces fournisseurs de sécurité n'étaient manifestement pas prêts à investir dans la mise à jour de leurs méthodes d'authentification disponibles.

Mais que se passerait-il si, au lieu d'écrire des manifestes de plug-in pour chaque application d'IA, les développeurs pouvaient créer un seul serveur conforme à un standard industrielle prise en charge par toutes les versions d'application d'IA ?

Voici le Model Context Protocol.

Modélisation des menaces pour le protocole de contexte de modèle

Si vous êtes un développeur d'applications d'entreprise, l'économie consistant à devoir écrire un nouveau connecteur personnalisé (tel qu'un plugin Microsoft Copilot) pour chaque autre saveur de modèle Al est loin d'être souhaitable.

Les fournisseurs de services préféreraient déclarer dès le départ quelles données et quels outils l'entreprise est disposée à partager avec n'importe quel modèle d'IA, définir les conditions dans lesquelles ces ressources sont exposées, définir comment les clients doivent autoriser l'accès et établir une liste blanche des applications d'IA qui peuvent accéder à ces ressources.

Pour cette raison, la dynamique de l'IA agentique se concentre désormais sur le Model Context Protocol (MCP). MCP est une interface standardisée pour connecter les applications d'IA (hôtes) aux services d'entreprise aussi divers que les plateformes cloud, les applications SaaS, les référentiels de code, les bases de données et même les services de paiement. L'architecture client-serveur de MCP permet le "plug and play" des applications d'IA aux sources de données et aux outils qui leur fournissent un contexte.

Dans l'entreprise, MCP promet une capacité à :

• Déterminer quelles sources de données et outils appartenant à l'entreprise sont disponibles,
• Permettre aux applications d'IA agentiques d'accéder aux sources de données et aux outils de plusieurs applications, sans contamination croisée des données.
• Réduire le coût de l'expérimentation avec différentes applications d'IA qui accèdent à ces sources de données et à ces outils.

Les serveurs MCP peuvent être déployés localement ou à distance. Ce choix de modèle de déploiement pour un cas d'usage donné a une incidence significative sur le modèle de menace qui en résulte.

La portée de notre recherche s'est limitée à comprendre comment les applications d'IA (hôtes), les clients MCP et les serveurs MCP gèrent les identifiants. Les composants principaux que nous avons évalués étaient les suivants :

• Hôtes MCP : applications Al, y compris les environnements de développement intégrés (IDE) tels que Cursor, VS Code ou Claude, qui nécessitent un accès aux outils annoncés par les serveurs MCP.
• Clients MCP : les multiples clients qu'un hôte MCP utilise pour communiquer avec un serveur MCP apparié.
• Serveurs MCP : les serveurs MCP annoncent les outils et les ressources disponibles dans un service externe et effectuent des appels d’API à ces services.

Serveurs MCP locaux

Le modèle MCP est particulièrement intéressant pour les cas d'usage du développement de logiciels.

Les ingénieurs logiciels utilisant des IDE compatibles avec l'IA, comme Cursor et VS Code, peuvent créer du code localement tout en bénéficiant de l'aide de modèles d'IA distants pour faire des suggestions au fur et à mesure que le Developer écrit du code.

Anthropic met son agent Claude Al à disposition pour un déploiement local sous le nom de « Claude Desktop ». Claude Desktop est un client MacOS et Windows déployé localement et une alternative à l’accès aux modèles Al d’Anthropic via le navigateur. L'un des avantages des serveurs MCP locaux est que les clients peuvent interagir à la fois avec un modèle Al distant et des fichiers locaux (documents, images, etc.).

Ces applications de bureau doivent souvent s'authentifier à la fois auprès du LLM (ce qui nécessite généralement une clé API) et auprès de sources de données distantes (telles que des référentiels de code, qui nécessitent un token d'accès personnel).

Lorsqu'un utilisateur lance l'application hôte, telle que Claude ou Cursor, le client MCP génère un serveur MCP et transmet au serveur tous les identifiants (clés API, identifiants de la base de données, mots de passe, secrets de client OAuth, etc.) nécessaires au fonctionnement à partir d'un fichier de configuration local, y compris les identifiants dont le serveur MCP a besoin pour accéder aux services distants.

Si le serveur MCP est conçu pour accéder aux ressources Github, par exemple, l'hôte nécessite qu'un Personal Access Token (PAT) Github soit disponible dans le fichier de configuration local. Le serveur affichera une erreur si le PAT Github n'est pas fourni.

L'emplacement des fichiers de configuration pour trois des applications de développement les plus populaires qui utilisent Al est indiqué ci-dessous :

Une étude de Keith Hoodlet chez Trail of Bits a souligné les risques liés au stockage de clés API statiques en clair dans ces fichiers, et a cité des exemples où ces fichiers étaient lisibles par le monde entier (c'est-à-dire accessible par tout utilisateur du système).

En étendant cette recherche, nous avons évalué les fichiers de configuration par défaut pour Claude Desktop, Cursor et VS Code, et avons observé les mêmes autorisations.

[1] Insecure credential storage plagues MCP

Les mêmes autorisations semblent s'appliquer aux fichiers de configuration inclus dans de nombreuses implémentations de serveur MCP officiel qui sont décrites comme « prêtes pour la production », et pour à peu près toutes les intégrations de la Community développées par des tiers, qui ne sont pas approuvées par les fournisseurs de services en question.

Toute modélisation des menaces doit anticiper que la grande majorité des serveurs MCP partagés à ce jour ne sont pas approuvés, ce qui entraîne des risques accrus pour les développeurs utilisant des serveurs MCP non autorisés.

Une analyse VirusTotal préliminaire des serveurs MCP téléchargés sur GitHub [2] a révélé que 8 % d'entre eux étaient suspects. Un nombre non divulgué d'entre eux contenait du code qui tente d'identifier les secrets (clés, mots de passe, etc.) dans les invites et les publie sur des terminaux externes.

Le stockage non sécurisé des clés API présente une série de risques, chacun étant exploré ci-dessous.

[2] What 17,845 GitHub Repos Taught Us About Malicious MCP Servers

[3] A Look Into the Secrets of MCP: The New Secret Leak Source

Les clés sont exposées dans les métadonnées du conteneur

L'exécution de serveurs MCP dans des conteneurs déplace le problème plutôt que de l'atténuer. Le secret doit être transmis au conteneur dans un format que le serveur MCP prend en charge.

L'examen de la configuration du conteneur fournit une référence directe à un secret en clair, que ce soit sous la forme d'un fichier sur l'hôte, ou en étant capable d'identifier les variables d'environnement pertinentes dans un conteneur qui peuvent être exposées en exécutant docker inspect, un outil de ligne de commande qui permet l'inspection des ressources docker.

Clés accessibles par des logiciels malveillants

Les logiciels malveillants voleurs d'informations génériques sont conçus pour localiser des chemins et des types de fichiers spécifiques où les identifiants sont stockés.

Par exemple :

• Les voleurs d'informations Windows, tels que Vidar Stealer, rechercheront les secrets stock s dans ~\AppData\Roaming
• Les voleurs d'informations MacOS, tels que Atomic Stealer, recherchent les secrets stock és dans ~/Library/Application Support

Il est fort probable que le stockage non sécurisé des tokens API statiques à ces emplacements entraînera des Événements importants. Alors qu'un token de session stocké à cet emplacement offre une courte fenêtre de temps pendant laquelle un attaquant peut obtenir un accès de niveau utilisateur à une ressource, un token API statique fournit un accès persistant aux ressources à l'échelle de l'organisation.

Clés sauvegardées sur des systèmes externes

Les clés sont exposées dans les volumes de sauvegarde si les administrateurs n'excluent pas les dossiers sensibles (tels que ~\AppData\Roaming sous Windows ou ~/Library/Application Support sous MacOS).

Postes de travail partagés entre plusieurs utilisateurs

Étant donné que les fichiers de configuration ont été jugés lisibles par tous, les clés stockées par un utilisateur sur un terminal partagé sont également accessibles aux autres utilisateurs qui se connectent au même terminal.

Par défaut, les identifiants sont stockés dans le trousseau MacOS après l'authentification et sont supprimées du trousseau chaque fois que l'administrateur se déconnecte du serveur MCP.

De plus, aucune portée n'est sélectionnée par défaut : un utilisateur est invité à les sélectionner.

[4] Le serveur Auth0 MCP est ici

Les auteurs de ce plugin déclarent clairement qu'ils ont privilégié la commodité des développeurs au détriment de la sécurité.

Le serveur MCP distant officiel d'Atlassian, en revanche, inclut le support de localhost afin de fournir une connexion et un consentement basés sur OAuth pour tous les utilisateurs, y compris ceux qui se connectent à partir d'IDE locaux comme Cursor.

Cela élimine efficacement le besoin pour les Developers de copier-coller des secrets dans des fichiers de configuration locaux. Le fichier de configuration fait simplement référence au service distant, et il est demandé à l'utilisateur de remplir un consentement OAuth après une authentification réussie.

Et contrairement à Microsoft Copilot, qui est optimisé pour le choix des méthodes d'authentification plutôt que pour un résultat de sécurité spécifique, OAuth est la seule méthode d'authentification disponible dans le serveur MCP distant d'Atlassian. Atlassian autorise également les hôtes (applications Al) qui peuvent se connecter à ce serveur MCP distant.