L’ère de l’IA déclenche une course aux armements dans la chasse aux failles

Résumé

L’essor des modèles d’IA « agentiques » bouleverse l’économie des programmes de bug bounty. Ils permettent de trouver et d’exploiter des failles à grande échelle, inondent les programmes de divulgation de vulnérabilités et renforcent aussi bien les défenseurs que les cybercriminels, au point de remettre en question le traditionnel délai de divulgation de 90 jours.

Les faits

Les programmes de divulgation de vulnérabilités et de « bug bounty » sont devenus un pilier de la cybersécurité après avoir marqué un virage par rapport à l’hostilité initiale des institutions envers les chercheurs. L’article rappelle qu’Apple a lancé son programme de bug bounty en 2016 avec une récompense maximale de 200 000 dollars, portée à 1 million de dollars en 2019 puis à 2 millions de dollars l’an dernier. L’arrivée de modèles d’IA « agentiques », capables d’identifier de façon autonome des vulnérabilités logicielles et de développer des exploits, change désormais la donne. Ces systèmes détectent des faiblesses et créent des outils de piratage, ce qui fait affluer les signalements dans les programmes de divulgation, au moment même où les organisations « trouvent plus de bugs que jamais » par elles-mêmes. Cette abondance modifie l’économie des bug bounties pour les entreprises comme pour les chercheurs qui en vivent. Le chercheur indépendant Joseph Thacker explique qu’il a « probablement soumis trois fois plus de bugs » qu’à la même période l’an passé et estime qu’une entreprise comme Google pourrait dépenser « de deux à dix fois plus » en primes. Selon lui, les géants technologiques peuvent absorber cette pression financière, mais « la plupart des entreprises ne le peuvent pas ». Il anticipe une première vague de signalements couvrant les vulnérabilités « faciles » alors que les agents d’IA trouvent déjà de « très bons bugs », avant une possible baisse du volume l’an prochain et une nouvelle hausse des montants de récompense. Cette accélération nourrit aussi une pression croissante sur les délais de correction et de divulgation. L’article souligne que des standards comme la fenêtre de divulgation responsable de 90 jours, forgés de longue date, pourraient être raccourcis. Le chercheur en sécurité Himanshu Anand résume ce changement en écrivant que « la fenêtre de divulgation responsable de 90 jours a été conçue pour un monde où les découvreurs de bugs étaient rares et où le développement d’exploits était lent » avant d’ajouter : « ce monde a disparu. Les LLM ont compressé les deux calendriers ». En parallèle, l’urgence des attaques réelles facilitée par l’IA se renforce. Des acteurs « sophistiqués » comme des profils « moins compétents » cherchent à élargir leurs capacités et à réduire leurs coûts grâce à ces outils. Google a ainsi constaté que des « cybercriminels de premier plan » tentaient d’exploiter une vulnérabilité zero-day, développée à l’aide d’outils d’IA, pour contourner l’authentification à deux facteurs sur une plateforme open source d’administration de systèmes. Google a alerté rapidement l’éditeur, qui a publié un correctif, mais les chercheurs y voient une illustration clé de l’évolution du paysage de la chasse aux failles. John Hultquist, analyste en chef du Google Threat Intelligence Group, souligne qu’ils « supposaient tous que cela se produisait déjà » et qu’il s’agit de leur « première preuve » d’attaquants utilisant l’IA pour découvrir des vulnérabilités inédites et créer des exploits. Il rappelle que, si les enjeux liés aux États-nations sont « très sérieux et très réels », les acteurs criminels représentent encore « la grande majorité des incidents » auxquels les organisations sont confrontées. L’usage de zero-days par le crime organisé est resté limité, mais ceux qui y recourent connaissent un fort succès, d’où le risque de voir l’impact croître avec davantage de criminels disposant d’un zero-day. Pour les chercheurs qui monétisent la chasse aux failles, la transition est déjà tangible. Le projet Curl a mis fin en janvier à son programme de bug bounty, opéré via la plateforme HackerOne, après avoir été submergé de signalements de mauvaise qualité générés par l’IA. Les responsables écrivent qu’ils ont « conclu à la dure qu’un bug bounty donne aux gens des incitations trop fortes à trouver et inventer des “problèmes” de mauvaise foi ». Ce cas illustre la face sombre de l’automatisation : un volume croissant de rapports insuffisants qui menace la viabilité de certains programmes.

Pourquoi c’est important

Cette évolution marque l’entrée dans une véritable course aux armements entre défenseurs et attaquants, tous deux dopés par l’IA. Les modèles « agentiques » abaissent les barrières techniques, multiplient les découvertes de failles et compressent les délais entre identification, exploitation et correction. Les entreprises doivent adapter à la fois leurs budgets de bug bounty, leurs processus de patch et leurs politiques de divulgation. Sur le plan stratégique, l’IA fait basculer un écosystème déjà fragile. Certains programmes, comme celui de Curl, se retrouvent noyés sous des signalements de piètre qualité générés automatiquement, tandis que de grands acteurs anticipent une explosion des coûts de primes. Dans le même temps, l’usage de zero-days par des cybercriminels soutenus par l’IA pourrait faire grimper l’impact et la fréquence d’incidents graves, poussant l’ensemble du secteur à revoir ses standards de sécurité et ses équilibres économiques.

Questions fréquentes

Comment l’IA change-t-elle la chasse aux bugs ?

Des modèles d’IA « agentiques » identifient de façon autonome des vulnérabilités et développent des exploits, inondant les programmes de divulgation et modifiant l’économie des bug bounties.

Pourquoi les coûts des bug bounties augmentent-ils ?

Joseph Thacker indique avoir soumis trois fois plus de bugs qu’un an plus tôt et estime qu’une entreprise comme Google pourrait dépenser de deux à dix fois plus en primes.

Le délai de divulgation de 90 jours est-il remis en question ?

Oui. Himanshu Anand estime que la fenêtre de 90 jours était adaptée à un monde où les découvreurs de failles étaient rares et où les exploits étaient lents à développer, un contexte que les LLM ont profondément changé.

Comment les cybercriminels utilisent-ils l’IA ?

Google a observé des « cybercriminels de premier plan » exploitant une zero-day développée avec des outils d’IA pour contourner l’authentification à deux facteurs sur une plateforme open source.

Pourquoi Curl a-t-il arrêté son programme de bug bounty ?

Curl a mis fin à son programme géré via HackerOne après avoir été submergé par des signalements de mauvaise qualité générés par l’IA, jugés comme des « problèmes » parfois inventés de mauvaise foi.

Source

Auteur

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.