L'IA accélère les cyberattaques, mais aussi leur détection
Autrefois, exploiter une faille logicielle fraîchement découverte prenait des mois. Aujourd'hui, comme l'illustre le projet Glasswing d'Anthropic, l'IA générative réalise cette tâche en quelques minutes, parfois pour moins d'un dollar de temps de calcul dans le cloud. Cette rapidité alarmante s'accompagne cependant d'une opportunité : renforcer les défenses cybernétiques.
Anthropic affirme que son modèle Claude Mythos, en version pré-lancement, a déjà aidé les défenseurs à identifier plus de 1 000 vulnérabilités zero-day, dont des failles critiques dans tous les principaux systèmes d'exploitation et navigateurs web. L'entreprise coordonne la divulgation et les correctifs, mais l'impact réel de l'IA sur l'équilibre entre attaquants et défenseurs reste incertain.
Un précédent : les fuzzers et l'automatisation des défenses
Pour comprendre comment les défenseurs peuvent prendre l'avantage, il faut revenir aux débuts de l'automatisation des vulnérabilités. Dans les années 2010, des outils comme American Fuzzy Lop (AFL), surnommés « singes à la machine à écrire », généraient des millions d'entrées aléatoires pour tester des programmes. Ces « fuzzers » ont révélé des failles critiques dans tous les navigateurs et systèmes d'exploitation majeurs.
Plutôt que de paniquer, la communauté de la cybersécurité a industrialisé la défense. Google a par exemple développé OSS-Fuzz, un système exécutant en continu des fuzzers sur des milliers de projets logiciels. Résultat : les développeurs détectent les bugs avant leur mise en production, évitant ainsi que les attaquants ne les exploitent en premier. L'IA devrait suivre une trajectoire similaire, avec une intégration progressive dans les processus de développement et une amélioration continue des normes de sécurité.
Une asymétrie inquiétante entre attaque et défense
Cependant, cette analogie a ses limites. Les fuzzers nécessitaient une expertise technique poussée pour être configurés et exploités. Ils étaient réservés aux spécialistes. L'IA, elle, découvre des vulnérabilités simplement en recevant une instruction textuelle. Cette démocratisation de l'attaque crée une asymétrie dangereuse : les attaquants n'ont plus besoin de compétences techniques poussées pour exploiter des failles, tandis que les défenses robustes exigent encore des ingénieurs pour analyser et corriger les résultats générés par l'IA.
Comme l'a souligné Peter Gutmann dans son livre Engineering Security, « beaucoup des technologies de sécurité actuelles ne sont sécurisées que parce que personne ne les a jamais examinées en détail ». Cette observation prend tout son sens avec l'IA, qui rend la recherche de vulnérabilités bien moins coûteuse. Pourtant, la correction des bugs reste un processus complexe et coûteux en ressources humaines.
Les dépendances logicielles critiques : un défi persistant
Une grande partie du code moderne, y compris les bibliothèques open source essentielles, est maintenue par des petites équipes, des contributeurs bénévoles ou des individus sans ressources dédiées à la sécurité. Une faille dans l'un de ces projets peut avoir des répercussions majeures.
En 2021, la vulnérabilité Log4j, découverte dans une bibliothèque de journalisation maintenue par quelques bénévoles, a exposé des centaines de millions d'appareils. Son utilisation généralisée en a fait l'une des failles logicielles les plus répandues de l'histoire. Log4j n'est qu'un exemple parmi d'autres de dépendances critiques jamais sérieusement auditées.
Vers une nouvelle ère de la cybersécurité ?
L'IA offre un double visage : elle accélère les attaques, mais aussi leur détection précoce. Les organisations qui parviendront à intégrer ces outils de manière proactive dans leurs processus de développement gagneront un avantage décisif. Cependant, la correction des vulnérabilités reste un défi humain et organisationnel. Sans une approche structurée, l'IA pourrait creuser l'écart entre la vitesse des attaques et la lenteur des réparations.
Pour l'instant, une chose est sûre : l'IA redéfinit les règles du jeu. Les défenseurs doivent s'adapter rapidement pour ne pas se laisser distancer.
Articles connexes
arXiv interdit les soumissions contenant des hallucinations générées par IA
AI-generated slop has shown up everywhere, including in the peer-reviewed literature. Fake citations, unedited prompt responses, and nonsensical diagr...
OpenAI réorganise ses dirigeants pour dominer la course aux agents IA
OpenAI announced yet another reorganization Friday, consolidating certain areas and making company president Greg Brockman the official lead of all th...
Des DJ IA à l'antenne : quand l'IA échoue à gérer seule une station radio
AI radio DJs demonstrated their volatile personalities. | Image: Cath Virginia / The Verge, Getty Images Andon Labs has been running a series of exper...
Google renforce ses règles anti-spam pour lutter contre la manipulation de l’IA dans les résultats
Google updated its spam policy to mark attempts to "manipulate" its AI model in search results as spam, including results in AI Overview or AI Mode in...
OpenAI permet désormais à ChatGPT d’accéder à vos comptes bancaires
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
Podcast Engadget : Android 17, les nouvelles fonctionnalités à ne pas manquer
We also dive into all the new features in Android 17.
Le fisc britannique mise sur l'IA pour lutter contre la fraude fiscale
Human staff members will still check the AI's findings.
L'essor de l'IA menace l'intégrité de la recherche scientifique
Last summer, Peter Degen's postdoctoral supervisor came to him with an unusual problem: One of his papers was being cited too much. Citations are the...