NE LAISSER PAS LE 5G DETRUIRE VOTRE ADN Protéger toute votre famille avec les appareils Quantiques Orgo-Life® Publicité par Adpathway
Des chercheurs ont découvert une faille permettant d’extraire les données de dépôts privés GitHub sans aucune authentification, juste en piégeant l’agent IA chargé de répondre aux tickets.
Fin juin 2026, GitHub lançait les Agentic Workflows, une fonctionnalité qui associe GitHub Actions (le système d’automatisation historique de la plateforme) à un agent IA reposant sur Claude ou GitHub Copilot. L’objectif ? Permettre aux équipes de décrire leurs automatisations en langage naturel plutôt qu’en code, l’agent se chargeant de lire les tickets, d’appeler des outils et de répondre de façon autonome.
C’est précisément ce nouvel outil qu’ont décidé de tester les chercheurs de Noma Security. Le résultat ? La découverte d’une vulnérabilité baptisée GitLost, rendue publique le 6 juillet 2026.
Le mécanisme d’attaque repose sur l’injection de prompt indirecte : une technique qui consiste à dissimuler des instructions dans un contenu que l’agent va lire, en l’occurrence un ticket, un commentaire, un fichier, en espérant que celui-ci les exécute comme s’il s’agissait d’ordres légitimes.
« En trompant le modèle, j’ai ainsi pu démontrer que les garde-fous de GitHub ne fonctionnaient pas comme prévu et n’ont pas empêché la fuite de données », résume Sasi Levi, à la tête du travail de recherche.
Comment fonctionne l’attaque
Le scénario décrit dans l’article de blog ne demande ni compétence technique, ni accès, ni identifiants. Il suffit d’ouvrir un ticket dans un dépôt public appartenant à une organisation utilisant les Agentic Workflows.
Le workflow automatique visé par Noma se déclenchait à l’assignation d’un ticket : l’agent lisait le titre et le corps du message, puis répondait par un commentaire public, le tout avec un accès en lecture à l’ensemble des dépôts de l’organisation, publics comme privés.

Problème : une fois le ticket assigné, l’agent est allé chercher le contenu du fichier README.md d’un dépôt privé, puis l’a recopié dans un commentaire visible par n’importe qui sur le ticket public.
Les chercheurs indiquent également avoir contourné certains garde-fous mis en place par GitHub en ajoutant simplement le mot « Additionally » à leurs instructions, ce qui suffisait à faire reformuler la réponse plutôt que la bloquer.
Une réponse encore floue de GitHub
Noma affirme avoir signalé la faille à GitHub de façon responsable, qui n’a pour l’heure pas réagi publiquement à ce travail de recherche.
Cette affaire résonne avec un constat que Microsoft a lui-même fini par admettre. Dans un billet de blog publié par son centre de réponse à la sécurité en juillet 2025, l’entreprise reconnaissait que l’injection de prompt indirecte n’est pas un simple bug à corriger, mais un risque structurel, lié à la nature même des modèles de langage probabilistes, et qu’aucune méthode de détection totalement fiable n’existe à ce jour.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !


3 day_ago
54


























.jpg)






French (CA)