Le secteur de la cybersécurité est confronté à une augmentation soudaine et massive des vulnérabilités logicielles, un phénomène décrit comme une « crise de découverte de bugs du jour zéro ». En raison des progrès rapides de l’intelligence artificielle, le volume considérable de bugs signalés dépasse la capacité des développeurs et des équipes de sécurité à les corriger.
Une crise d’échelle
L’ampleur de cet afflux est sans précédent. Les données de la Zero Day Initiative, le plus grand programme de bug bounty indépendant des fournisseurs au monde, montrent une augmentation stupéfiante de 490 % des soumissions ce mois-ci par rapport à la même période de l’année dernière.
Il ne s’agit pas simplement d’un plus grand nombre de rapports ; il s’agit d’un changement fondamental dans la façon dont les vulnérabilités sont détectées. Ce « déluge » oblige les organisations à prendre des décisions drastiques :
– Le programme Internet Bug Bounty a complètement interrompu les nouvelles soumissions pour gérer la charge de travail.
– cURL, un logiciel open source essentiel, a suspendu son programme de primes pour lutter contre le « bruit » et réduire le fardeau mental des mainteneurs bénévoles.
– Les équipes de sécurité ont du mal à effectuer le « triage », le processus consistant à trier des milliers de rapports pour déterminer lesquels sont de véritables menaces et lesquels sont des « slops d’IA » (rapports automatisés de mauvaise qualité).
Du « bruit » aux menaces de haute gravité
Au départ, les experts craignaient que l’IA ne génère principalement des rapports de « mauvaise qualité », c’est-à-dire des soumissions automatisées et insensées qui feraient perdre du temps aux développeurs. Cependant, la tendance s’oriente vers quelque chose de beaucoup plus dangereux.
Daniel Stenberg, développeur principal de cURL, constate un renversement critique : si le volume de rapports est élevé, la gravité et la qualité de ces bugs augmentent également. Il rapporte que le taux de vulnérabilités confirmées correspond désormais, voire dépasse, les niveaux pré-IA.
Ce changement est illustré par le récent développement d’Anthropic, Claude Mythos. Le modèle d’IA a démontré une capacité avancée à découvrir et exploiter de manière autonome les vulnérabilités du jour zéro sur tous les principaux systèmes d’exploitation. Anthropic a révélé qu’ils ont trouvé tellement de bugs qu’ils ne peuvent divulguer que les plus graves en premier pour éviter de surcharger les responsables. Ils ont également noté une statistique qui donne à réfléchir : moins de 1 % des vulnérabilités qu’ils ont découvertes ont été entièrement corrigées par leurs responsables respectifs.
La dynamique de la « course aux armements »
Cette poussée met en évidence un déséquilibre croissant dans le paysage de la cybersécurité. Si l’IA fournit des outils aux défenseurs, elle augmente également considérablement la productivité des auteurs de menaces.
| Aspects | Impact de l’IA |
|---|---|
| Vitesse de découverte | Accélération exponentielle ; trouver les bogues plus rapidement que les humains ne peuvent les corriger. |
| Gravité de la vulnérabilité | Passer du « bruit » de faible niveau aux failles Zero Day critiques et exploitables. |
| Stension des ressources | Surcharger les bénévoles open source et même les grandes entreprises comme Microsoft. |
| Processus de triage | Exiger de l’IA qu’elle combatte l’IA ; les entreprises utilisent désormais des modèles pour filtrer les « slops de l’IA ». |
Microsoft a récemment publié sa deuxième plus grande mise à jour de sécurité mensuelle de l’histoire, de nombreux experts pointant du doigt la découverte basée sur l’IA comme une cause probable. Même si l’entreprise s’est montrée prudente quant à l’attribution de ce phénomène uniquement à l’IA, la corrélation est difficile à ignorer.
La voie à suivre : renforcer la défense
L’industrie est actuellement prise dans une boucle réactive. Pour lutter contre le flot de bogues générés par l’IA, les organisations de sécurité sont obligées d’utiliser elles-mêmes l’IA pour trier et filtrer les rapports entrants.
Le défi central est celui de la vitesse. Si la vitesse à laquelle les chercheurs (et les pirates) découvrent les vulnérabilités continue de dépasser la vitesse à laquelle les développeurs peuvent écrire, tester et déployer des correctifs, la fenêtre d’opportunité pour les attaquants s’élargira.
“Nous devons trouver comment étendre nos correctifs aussi vite que les chercheurs (et les attaquants) étendent leurs découvertes”, prévient Dustin Childs de Zero Day Initiative.
Conclusion
L’essor de la découverte de vulnérabilités basée sur l’IA a créé un goulot d’étranglement dans la sécurité logicielle, où le grand nombre de bogues critiques menace de submerger l’infrastructure mondiale de mise à jour des correctifs. Le succès dans cette nouvelle ère dépendra de la capacité de l’industrie à développer ses capacités défensives aussi rapidement que l’IA développe ses capacités offensives.
