Le marché des vulnérabilités entre dans une nouvelle phase

L’intelligence artificielle ne change pas seulement la manière dont les logiciels sont construits. Elle change aussi la façon dont ils se cassent, la vitesse à laquelle ces faiblesses sont repérées, et ce que les entreprises devront peut-être payer pour les connaître en premier. Selon un reportage de Wired, la découverte de vulnérabilités pilotée par l’IA commence à submerger les programmes de bug bounty, créant une nouvelle tension économique et opérationnelle dans l’ensemble de l’écosystème de sécurité logicielle.

Cela compte parce que les programmes de bug bounty sont devenus l’un des principaux ponts entre les chercheurs en sécurité indépendants et les grandes entreprises technologiques. Au lieu de traiter les chercheurs externes comme des adversaires, les entreprises les ont de plus en plus payés pour divulguer les vulnérabilités de manière responsable. Désormais, ce système est mis à l’épreuve par l’échelle.

Plus de bugs, plus de signalements, plus de pression

Le changement central est simple : les modèles d’IA agentique deviennent de plus en plus capables d’identifier de manière autonome des vulnérabilités et de développer des exploits. En pratique, cela signifie que davantage de failles peuvent être trouvées plus vite, et par davantage de personnes. Le résultat, comme le décrit le texte source, est une hausse des signalements dans les programmes de divulgation et de bounty, au moment même où les organisations trouvent elles aussi davantage de bugs en interne.

Le chercheur indépendant Joseph Thacker a déclaré à Wired qu’il avait soumis environ trois fois plus de bugs qu’au même moment l’année précédente, et il a estimé qu’une entreprise comme Google pourrait finir par dépenser deux à dix fois plus en primes que l’an dernier. Même si cette projection exacte ne se vérifie pas, la direction du changement est claire : l’ancienne relation entre l’effort du chercheur, la rareté des bugs et le montant des récompenses est bouleversée.

Les grandes entreprises technologiques pourront peut-être absorber cette pression. Les petites organisations, elles, risquent davantage de peiner. Si les programmes de bounty sont inondés de signalements de gravité faible ou moyenne que les systèmes d’IA peuvent découvrir à grande échelle, les charges de triage augmentent, les équipes de réponse sont mises sous tension et les structures de paiement devront peut-être évoluer.

Charities decry UK plan to use AI to assess age of young asylum seekers
More in Culture

Les contrôles d’âge par IA pour les demandeurs d’asile au Royaume-Uni suscitent la polémique chez les groupes de défense des enfants réfugiés

Plus de 100 organisations avertissent que le recours britannique à l’estimation faciale de l’âge par IA sur des demandeurs d’asile pourrait classer à tort des enfants comme des adultes.

Read article

Les attaquants avancent en même temps que les défenseurs

Il ne s’agit pas seulement d’une histoire de défense plus efficace. Les mêmes outils qui aident les chercheurs éthiques à trouver des vulnérabilités peuvent aussi aider les attaquants à développer des exploits. Cette symétrie est l’une des raisons pour lesquelles le changement est plus grave qu’une simple hausse temporaire du volume de signalements.

Le texte source décrit le domaine comme évoluant au même rythme pour les attaquants. Si le développement d’exploits s’accélère, les hypothèses confortables qui soutenaient autrefois les normes de divulgation pourraient s’éroder. En particulier, les fenêtres de divulgation de 90 jours, de longue date, pourraient subir des pressions si les entreprises estiment que les attaquants peuvent exploiter des failles plus rapidement qu’auparavant.

Le chercheur en sécurité Himanshu Anand, cité dans l’article, a soutenu que la fenêtre de divulgation responsable de 90 jours avait été conçue pour un monde où les chasseurs de bugs étaient rares et où le développement d’exploits était lent. Cette affirmation résume le problème structurel. La politique de divulgation repose sur le rythme de la découverte et de l’exploitation. Si l’IA modifie les deux, le cadre actuel risque de ne plus correspondre à la réalité.

L’abondance actuelle ne durera peut-être pas

L’un des points les plus intéressants du reportage est que l’explosion actuelle des primes pourrait être transitoire. Thacker a suggéré que les chercheurs récoltent actuellement les vulnérabilités les plus accessibles, mais que l’an prochain moins de bugs pourraient être soumis parce qu’une grande partie de ce terrain facile aura déjà été explorée. Si cela se produit, les entreprises pourraient traverser un cycle où les primes augmentent maintenant, puis devront peut-être encore grimper plus tard pour attirer l’attention sur des catégories de failles plus difficiles.

Ce serait un changement majeur dans l’économie des bug bounty. Au lieu de marchés stables pour des trouvailles expertes rares, les organisations pourraient faire face à des vagues de découverte amplifiée par l’IA : d’abord l’abondance, puis l’épuisement des cibles évidentes, puis la concurrence pour les chercheurs capables d’aller plus en profondeur.

Pendant ce temps, les entreprises doivent déterminer si leurs processus de sécurité actuels sont assez rapides pour cet environnement. Les files de triage, le développement de correctifs, la coordination de la divulgation et la communication aux utilisateurs deviennent tous plus importants lorsque le délai entre la découverte d’une vulnérabilité et son exploitabilité se réduit.

This model is not a real person: how AI is changing online shopping – video
More in Culture

Les mannequins de mode générés par IA testent de nouvelles règles de confiance dans le commerce en ligne

Les mannequins générés par IA font leur entrée dans le commerce électronique de la mode, soulevant des questions sur la divulgation, le réalisme et la manière dont la présentation numérique doit influencer les décisions d’achat.

Read article

Les programmes de sécurité pourraient avoir besoin d’être repensés, pas seulement mieux financés

La leçon probable est que les organisations ne peuvent pas considérer la chasse aux bugs assistée par l’IA comme une simple hausse de coûts. Plus d’argent pour les primes peut aider, mais cela ne résoudra pas le problème fondamental du flux de travail si la réception, la priorisation et la remédiation restent calibrées pour une époque plus lente.

Les programmes devront peut-être ajuster les seuils de gravité, automatiser une partie de la validation, repenser les délais de divulgation et distinguer plus nettement les signalements à forte valeur des signaux parasites de commodité. Rien de tout cela n’est simple, d’autant plus que les programmes de bounty ont aussi une valeur réputationnelle : si les chercheurs cessent de les juger efficaces ou équitables, les meilleurs talents pourraient réorienter leurs efforts ailleurs.

  • Les systèmes d’IA facilitent la découverte de vulnérabilités logicielles et la génération d’exploits.
  • Les programmes de bug bounty sont submergés de signalements, ce qui modifie l’économie des primes et du triage.
  • Les grandes entreprises peuvent sans doute absorber plus facilement cette pression que les petites organisations.
  • Le développement d’exploits plus rapide pourrait accroître la pression sur les délais de correction et les normes de divulgation sur 90 jours.

L’idée générale est simple. L’IA accélère les deux camps de la confrontation en matière de sécurité. Pour les éditeurs de logiciels, la question n’est plus de savoir si la découverte de vulnérabilités va s’accélérer. C’est déjà le cas. La vraie question est maintenant de savoir si les institutions conçues pour une économie de la sécurité plus lente peuvent s’adapter avant que les attaquants n’exploitent l’écart.

Cet article s’appuie sur un reportage de Wired. Lire l’article original.

Originally published on wired.com