En bref : Aikido Audit comble le fossé entre SAST les tests d'intrusion en analysant vos bases de code de manière statique afin de mettre en évidence les vulnérabilités en plusieurs étapes, liées à l'intention, avant leur mise en production.
La semaine dernière, Anthropic a lancé Claude Fable 5, une version publique de son modèle de classe « Mythos », capable de détecter et d’enchaîner des exploits « zero-day ». Fable 5 intègre des mécanismes de sécurité qui bloquent les requêtes liées à la cybersécurité et basculent vers un modèle plus restreint ; ainsi, la version publique n’exécute pas ces attaques à votre place.
Du moins, c’était l’idée.
Mais il semble qu’une ou plusieurs organisations aient réussi à « jailbreaker » Fable 5, ce qui a conduit Anthropic à retirer le modèle sous la pression du gouvernement américain. Le problème, c’est qu’on ne peut pas remettre le génie dans la bouteille. Que ce soit par le biais de « jailbreaks » ou de l’open source, les attaquants auront accès à des modèles de plus en plus performants.
La voie est tracée. Le savoir-faire et le temps nécessaires pour repérer et enchaîner les failles au sein d’une application sont en train de céder la place à une tâche qu’un agent peut accomplir sans nécessiter des heures, voire des jours, d’effort humain. Cela vaut tout particulièrement pour les failles logiques qui ne sont pas détectées par analyse statique du code existants. Ces catégories de failles ne suivent pas de schémas prévisibles ; l’analyse statique ne dispose donc d’aucun point de référence.
Mais les défenseurs peuvent garder une longueur d'avance en utilisant ces mêmes modèles agentiques, en analysant et en détectant les failles de sécurité dans leurs bases de code avant qu'elles n'atteignent l'environnement de production. C'est pourquoi nous avons développé Aikido Audit.
En quoi consiste exactement un audit de code ?
Code Audit ne remplace pas votre SAST , qui excelle dans la détection des failles de sécurité basées sur des règles au fur et à mesure de votre développement. Il ne remplace pas non plus les tests d'intrusion. Il se situe entre les deux, en analysant votre code statique avec un raisonnement digne d'un test d'intrusion.
Utilisez Code Audit avant une mise à jour importante ou après le déploiement d'une fonctionnalité majeure. Cet outil suit les références entre les fichiers et les modules. Il met en évidence les problèmes impliquant plusieurs étapes, pour lesquels aucune ligne de code n'est à elle seule la source de la vulnérabilité. Chaque résultat est accompagné de la cause première, de preuves issues du code et d'une fonctionnalité « AutoFix » qui vous permet de générer instantanément une PR résoudre le problème.
En pratique, cela se présente comme suit :
Une chaîne IDOR en plusieurs étapes s'étendant sur trois fichiers qu'un scanner basé sur des modèles ne relierait jamais, car aucune ligne prise isolément ne déclenche de règle. Code Audit remonte la piste de la référence, suit le contrôle d'autorisation manquant dans son contexte et met en évidence le chemin d'exploitation complet.
Le même principe s'applique à d'autres vulnérabilités d'ordre logique, comme un modèle ReDoS identifié à la source sans avoir fait l'objet d'une exploitation en conditions réelles, ou une voie d'accès réservée aux administrateurs qui n'a jamais été testée lors d'un test d'intrusion en conditions réelles, car personne ne disposait d'identifiants valides. Je suis sûr que vous pouvez penser à d'autres exemples.
.jpg)
Comme Code Audit agit directement sur votre code source, vous n’avez pas besoin d’un environnement de préproduction actif ni de créer d’identifiants d’authentification. Il vous suffit de connecter votre base de code et de lancer un audit. Si le code existe dans le code source, il est pris en compte : dépôts multiples, chemins marqués par des indicateurs de fonctionnalité, modifications non déployées et routes d’administration que les tests en production ne peuvent pas modifier en toute sécurité.
Cela ne se limite pas à votre application web
L'audit de code s'appuie sur l'analyse statique du code source plutôt que sur l'exploration d'un environnement en production ; il n'est donc pas limité par la couverture SAST ni par la plateforme sur laquelle votre code s'exécute.
Cela signifie que vous pouvez tester :
- Les applications mobiles, pour lesquelles il n'existe pas d'URL permettant d'y accéder et où il n'est pas facile de tester les différents chemins d'exécution sur une version en production.
- Les contrats intelligents : dans ce cas précis, on souhaite absolument éviter toute tentative d'exploitation d'un contrat déployé contenant une valeur réelle verrouillée.
- Bases de code héritées écrites dans des langages pour lesquels SAST est limitée.
Analyse comparative
D'après nos tests internes et les retours de nos premiers utilisateurs, Code Audit couvre environ 70 à 80 % des failles mises en évidence par un test d'intrusion complet, pour un coût environ 10 fois inférieur. Les premiers utilisateurs ont identifié environ 25 failles de sécurité par base de code (médiane), aucun audit n'ayant donné lieu à un résultat « sans faille ».
Mais le nombre de problèmes détectés passe après le moment où ils sont détectés. Découvrir une vulnérabilité avant la mise en production ne nécessite qu’une modification du code, alors que le développeur a encore une bonne connaissance du contexte. La découvrir après sa mise en production implique généralement un cycle de correction et la nécessité de mobiliser un développeur sur un autre projet pour y remédier. L’audit de code permet de repérer les vulnérabilités juste avant la mise en production, au moment où le développeur qui a travaillé sur le code en a encore une parfaite connaissance et où la correction est simple à mettre en œuvre.
Comment commencer
Depuis votre Aikido , sélectionnez « Code Audit » dans le menu, puis cliquez sur « Create Audit ». Vous pouvez ensuite sélectionner un ou plusieurs dépôts, et Aikido le coût en crédits. Ajoutez des crédits à votre compte et lancez l’audit. La configuration ne prend que quelques minutes et les audits peuvent durer aussi peu que 5 minutes, en fonction de la taille et de la complexité de votre base de code.
Lancez votre premier audit de code.
