1Password : l'IA, un outil à double tranchant pour la sécurité des données

L'IA, un défi majeur pour les gestionnaires de mots de passe

Pour une entreprise comme 1Password, dont la mission est cruciale en matière de cybersécurité, évaluer les risques et opportunités de l'IA relève davantage du pari que de l'analyse rationnelle. En tant que gestionnaire de mots de passe, l'entreprise doit protéger les identifiants les plus sensibles de ses clients contre les cyberattaques et les erreurs humaines. Désormais, elle doit aussi composer avec l'IA, qui représente à la fois un outil et une menace.

L'IA peut accélérer le développement de logiciels et la détection de vulnérabilités, mais elle expose aussi les entreprises à des risques accrus. Des applications mal codées, développées à la hâte grâce à l'IA, pourraient compromettre des mots de passe. Par ailleurs, les agents IA, bien que rapides et efficaces, ne sont pas à l'abri d'erreurs ou d'attaques par injection de prompts, warns Nancy Wang, directrice technique de 1Password.

« Il faut d'abord aider vos clients à comprendre l'ampleur des risques et la pervasive de ce défi dans leur écosystème. »

Une stratégie proactive pour limiter les risques liés à l'IA

1Password a adopté une approche proactive pour protéger ses clients des dangers liés à l'IA. L'entreprise utilise un agent intégré qui analyse l'utilisation des modèles d'IA par ses clients et signale les risques potentiels. Par exemple, il peut détecter si des développeurs utilisent un modèle comme DeepSeek, connu pour ses vulnérabilités de sécurité.

« Madame la RSSI, saviez-vous que vos développeurs utilisent le modèle DeepSeek sur cette branche de votre base de code ? Cela s'est déjà produit », explique Nancy Wang. Elle précise que des discussions sur les bonnes pratiques de sécurité ont suivi avec les équipes concernées.

L'agent intégré de 1Password effectue également des analyses automatiques pour repérer les mots de passe non protégés ou non chiffrés sur les appareils des utilisateurs. « Lorsque nous découvrons des identifiants non chiffrés sur un disque, nous les déplaçons immédiatement dans notre coffre-fort chiffré », précise-t-elle.

Sécuriser les appareils personnels et les agents IA

Comme d'autres gestionnaires de mots de passe, 1Password chiffre les identifiants de bout en bout, empêchant l'entreprise d'accéder aux mots de passe enregistrés. Son logiciel est conçu pour que même un agent IA ne puisse pas voir le texte en clair d'un mot de passe lors de son remplissage automatique sur un site.

Les entreprises peuvent également inciter leurs employés à installer l'agent de confiance de 1Password sur leurs appareils personnels, une mesure essentielle pour réduire les vecteurs d'attaque fréquents. Cependant, la conformité reste inégale, notamment avec les comptes familiaux inclus dans les plans professionnels, souvent sous-utilisés.

Surveiller les agents IA pour éviter les dérives

Les agents IA, bien qu'utiles pour automatiser des tâches, nécessitent une surveillance constante en raison de leur nature non déterministe. Nancy Wang souligne que cela représente une « opportunité en or » pour 1Password d'apprendre à grande échelle en analysant le comportement des agents.

« Quel était le prompt ? Que l'agent a-t-il fait avec ce prompt ? La sortie était-elle conforme ? » s'interroge-t-elle. Les fichiers de journalisation générés serviront ensuite de mécanisme d'apprentissage pour l'agent et le modèle. En février, 1Password a annoncé un benchmark pour évaluer le comportement des agents IA : l'indice SCAM (Security Comprehension and Awareness Measure).