Peut-on coller du code dans une IA sans risque ? (Secrets, PI, données clients)
Oui, une fois les secrets retirés. Le code cache clés d'API et identifiants cloud — enlevez-les avant de coller dans ChatGPT, Claude ou Gemini.
La réponse courte : coller du code dans une IA est utile, mais risqué si vous sautez une étape. L'aide de l'IA au code est réelle. Pourtant, votre code source transporte trois charges cachées, au-delà de la logique à corriger. D'abord des secrets : clés d'API en dur, identifiants cloud, mots de passe de base de données, jetons, clés privées. Ensuite votre logique propriétaire, que votre entreprise n'a pas encore publiée. Enfin, parfois de vraies données clients, tapies dans des commentaires, des fixtures ou des fichiers de test. Collez tout cela dans une IA grand public. Ce contenu peut alors être retenu, relu par un humain, ou servir à entraîner un modèle. La parade est simple : retirez les secrets et les identifiants avant que le code ne quitte votre machine.
Trois choses se cachent dans votre code
Le code, ce n'est pas que de la logique. Il embarque souvent des valeurs bien réelles. Les secrets sont les plus tranchants. Voici les types que l'on retrouve le plus souvent en dur dans le code.
- Clés d'API et jetons d'accès (OpenAI, Stripe, Slack, GitHub, GitLab).
- Identifiants cloud pour AWS, Google Cloud ou Azure.
- Mots de passe de base de données et chaînes de connexion.
- Clés privées et JWT (jetons de session signés).
À quel point les secrets en dur sont fréquents
Les secrets en dur, c'est très courant. GitGuardian scanne le code public à la recherche d'identifiants fuités. Son rapport State of Secrets Sprawl 2024 donne l'échelle. Il a recensé plus de 12,7 millions de nouveaux secrets exposés dans des commits GitHub publics en 2023. Soit une hausse de 28 % sur un an. Environ 1 auteur de commit sur 10 a laissé fuiter un identifiant cette année-là. Et près de 7 commits sur 1 000 contenaient au moins un secret.
Un chiffre parle aux utilisateurs d'IA. GitGuardian a mesuré une explosion d'environ 1 212× sur un an des clés d'API OpenAI fuitées. Elles sont devenues le type de secret le plus détecté. Ce sont des fuites GitHub publiques, pas des secrets mesurés dans les outils d'IA. Mais la déduction s'impose. Les mêmes clés en dur dans le code sont celles que l'on colle dans un chatbot.
La leçon Samsung
Le cas le plus connu, c'est Samsung. En 2023, des ingénieurs de sa division semi-conducteurs auraient collé du contenu confidentiel dans ChatGPT. Cela incluait du code source et des notes internes. Le fait s'est produit sur plusieurs incidents, quelques semaines après l'autorisation de l'outil. Bloomberg a révélé l'affaire, et CNBC l'a également rapportée.
Samsung a ensuite restreint l'IA générative sur les appareils de l'entreprise. L'inquiétude était structurelle, pas une fuite publique. Tout ce qui est tapé dans un service externe peut finir stocké sur des serveurs tiers. Et cela peut devenir difficile à récupérer ou à supprimer. Aucune fuite vers le public n'a été rapportée. Le risque, c'était la rétention hors du contrôle de l'entreprise.
Ce que dit l'OWASP
Les organismes de standards de sécurité prennent le sujet au sérieux. OWASP est une association qui édite des standards de sécurité logicielle très utilisés. Elle maintient un Top 10 pour les applications LLM. Sur cette liste, la « divulgation d'informations sensibles » (LLM06) est un risque nommé. OWASP la décrit comme des informations confidentielles ou propriétaires qui remontent via un système LLM. Elle prévient que cela peut entraîner des conséquences juridiques ou une perte d'avantage concurrentiel. La leçon vaut d'abord pour ce que vous donnez au modèle.
| Charge cachée | Ce qu'elle peut exposer |
|---|---|
| Secrets | Clés d'API, identifiants cloud, mots de passe, jetons, clés privées, JWT |
| Propriété intellectuelle | Logique inédite et secrets d'affaires non encore publiés |
| Données clients | Vraies données personnelles dans commentaires, fixtures, logs, seeds ou tests |
La parade : anonymiser avant de coller
Voici la bonne nouvelle. Pas besoin d'arrêter d'utiliser l'IA sur votre code. Vous retirez juste ce qui ne doit pas voyager. Posez votre question sur la logique, le bug, le motif. Gardez les secrets et identifiants réels hors du copier-coller. Le modèle aide tout aussi bien sans eux.
- 1Scannez l'extrait à la recherche de secrets : clés, jetons, mots de passe, clés privées.
- 2Remplacez chacun par un jeton réversible, côté navigateur.
- 3Ne collez que le code anonymisé dans l'IA.
- 4Restaurez les vraies valeurs dans la réponse, en local.
Ça marche parce que la plupart des secrets suivent des motifs. Une clé AWS, un token GitHub, une clé Stripe, un JWT — chacun a une forme reconnaissable. Un détecteur peut les repérer avant l'envoi. C'est toute la différence entre une aide IA utile et une fuite accidentelle.
C'est le rôle d'ONYRI Sanitize. Le moteur détecte les clés et jetons cloud — AWS, GitHub, GitLab, Stripe, OpenAI, Anthropic, GCP, Azure, Slack, JWT — directement dans votre navigateur. Il les remplace par des jetons réversibles avant tout envoi. La détection et le mapping restent côté client. Seul le code anonymisé atteint le modèle. L'IA voit des jetons, jamais vos secrets actifs. Vous obtenez l'aide au débogage, sans le risque qui a fait reculer Samsung et que nomme l'OWASP.
Questions fréquentes
- Peut-on coller du code dans une IA sans risque ?
- C'est utile, mais sûr seulement après avoir retiré les secrets. Le code source cache souvent des clés d'API, des identifiants cloud, des mots de passe et des jetons. Une IA grand public peut retenir, relire ou entraîner sur ce que vous collez, selon le produit et ses réglages. Retirez donc les secrets et identifiants avant l'envoi. L'IA aide alors sur votre logique et vos bugs, sans danger.
- Quels secrets se cachent dans le code source ?
- Beaucoup. Clés d'API en dur, identifiants cloud AWS, GCP ou Azure, mots de passe de base de données, jetons d'accès, clés privées et JWT. GitGuardian a recensé plus de 12,7 millions de nouveaux secrets dans des commits GitHub publics en 2023. Les clés OpenAI fuitées ont le plus augmenté. Les mêmes types de secrets se trouvent dans le code que l'on colle dans les outils d'IA.
- L'IA peut-elle aider si je retire les secrets ?
- Oui. Le modèle raisonne sur la structure de votre code, pas sur la valeur littérale de la clé. Remplacez chaque secret par un jeton réversible, posez votre question, puis restaurez les vraies valeurs en local. Vous obtenez la même aide au débogage, et aucun identifiant actif ne quitte votre machine.
Sources et références
- Samsung restreint l'IA façon ChatGPT après un risque de fuite de code (des employés ont collé du contenu confidentiel dans ChatGPT) — CNBC
- State of Secrets Sprawl 2024 (12,7 millions de nouveaux secrets dans des commits GitHub publics en 2023, +28 % sur un an) — GitGuardian
- OWASP Top 10 for LLM Applications (divulgation d'informations sensibles, LLM06) — OWASP
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt