L'IA redessine la chasse aux bugs

Une décennie après que les programmes de primes aux vulnérabilités sont passés d'une pratique de niche à une politique d'entreprise grand public, une nouvelle vague d'outils d'IA bouleverse l'économie de la recherche de vulnérabilités. Les systèmes d'IA autonomes deviennent meilleurs à la fois pour trouver des faiblesses logicielles et pour développer des exploits, inondant les programmes de divulgation de plus de soumissions alors même que les organisations découvrent davantage de bugs par elles-mêmes.

Le résultat est une course aux armements qui s'intensifie entre chercheurs, entreprises et attaquants. Le chercheur en sécurité indépendant Joseph Thacker, qui a développé des outils et des méthodes pour utiliser l'IA dans son propre travail, a déclaré qu'il avait soumis environ trois fois plus de bugs qu'à la même époque l'année dernière. Il s'attend à ce que la pression touche d'abord les grandes entreprises.

« Je soupçonnerais qu'une entreprise comme Google va dépenser entre deux et dix fois plus en primes qu'elle ne l'a fait l'an dernier », a déclaré Thacker.

Il a ajouté que les grandes entreprises technologiques peuvent absorber cette augmentation, mais que beaucoup d'autres ne le peuvent pas. Selon lui, les systèmes d'IA trouvent déjà les vulnérabilités les plus faciles, et l'année prochaine il pourrait y avoir moins de bugs faciles à cueillir parce qu'un grand nombre d'entre eux auront déjà été découverts.

Les délais de divulgation sous pression

Ce changement remet aussi en cause les normes établies autour de la divulgation responsable. Le chercheur en sécurité Himanshu Anand a écrit plus tôt ce mois-ci que la fenêtre de divulgation de 90 jours avait été conçue pour un monde où les découvreurs de vulnérabilités étaient rares et le développement d'exploits lent, ajoutant que les grands modèles de langage ont compressé ces deux échéances.

Cette compression pourrait pousser les développeurs à publier des correctifs plus rapidement, surtout si les attaquants sont capables de découvrir et d'arme des failles plus vite qu'avant. Elle pourrait aussi obliger les organisations à améliorer la rapidité avec laquelle elles déploient des correctifs en interne, un processus qui a toujours été difficile car les correctifs peuvent créer de nouveaux problèmes s'ils sont déployés sans suffisamment de tests.

Les programmes de primes aux vulnérabilités eux-mêmes ont déjà évolué de manière spectaculaire. Lorsque Apple a lancé son programme en 2016, sa récompense maximale était de 200 000 $. L'entreprise a porté ce montant à 1 million de dollars en 2019, puis à 2 millions l'année dernière.

Maintenant, avec l'IA augmentant à la fois l'offre de bugs et la vitesse de création d'exploits, les chercheurs estiment que la prochaine phase de la recherche de vulnérabilités ressemblera probablement très différemment à celle qui l'a précédée.

Sources :

wired.com