Brief IA : HackerOne et Google freinent l'IA : bug bounties saturés

HackerOne et Google freinent l'IA : bug bounties saturés

Brief IA
Tom Levy·3 min·15 vues

HackerOne a suspendu les paiements de son programme de bug bounty, affectant des milliers de chercheurs en sécurité, en raison d'une saturation artificielle des soumissions générées par l'IA. Depuis 2012, le programme a distribué plus de 1,5 million de dollars, mais l'automatisation a déséquilibré le rapport entre signalements et capacité de traitement, poussant des projets comme Node.js à continuer sans récompenses.

En bref
1HackerOne suspend ses paiements de bug bounty, submergé par des rapports générés par l'IA, après avoir distribué 1,5 million de dollars.
2Node.js continue d'accepter les rapports via HackerOne, mais sans offrir de récompenses, illustrant l'impact de l'IA sur le secteur.
3Google impose des conditions plus strictes pour son programme Open Source Software VRP, exigeant des preuves de reproduction pour filtrer les faux rapports.
💡Pourquoi c'est importantL'IA menace la viabilité économique des chasseurs de failles en multipliant les signalements inutiles, perturbant l'équilibre des programmes de sécurité.
Le brief IA que lisent les pros

Tu suis la course aux modèles IA ?

Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

L'impact de l'IA sur les programmes de bug bounty

Les programmes de bug bounty, essentiels pour la cybersécurité, sont aujourd'hui confrontés à une crise provoquée par l'usage intensif de l'intelligence artificielle. HackerOne, une plateforme majeure dans ce domaine, a récemment décidé de suspendre les paiements de son programme historique, actif depuis 2012 et ayant distribué plus de 1,5 million de dollars. Cette décision est motivée par une saturation artificielle des rapports, une conséquence directe de l'utilisation de l'IA.

L'Internet Bug Bounty (IBB) a traditionnellement alloué 80 % de ses fonds à la découverte de nouvelles failles et 20 % à leur correction. Cependant, l'IA a considérablement augmenté le nombre de soumissions sans en améliorer la qualité. HackerOne a reconnu que la recherche assistée par l'IA a étendu la découverte de vulnérabilités à l'ensemble de l'écosystème, déséquilibrant ainsi le rapport entre signalements et capacité de traitement.

Node.js et Google réagissent

Node.js, l'un des premiers projets touchés, continue d'accepter les rapports via HackerOne, mais sans offrir de récompenses financières. Cette situation n'est pas unique. En janvier, Daniel Stenberg, le créateur de Curl, a fermé son programme après avoir reçu vingt rapports en trois semaines, dont aucun ne décrivait une vulnérabilité réelle. En 2025, seulement 5 % des soumissions Curl étaient exploitables, chaque faux rapport nécessitant entre 30 minutes et 3 heures de validation par des bénévoles.

Google a également réagi en durcissant les conditions de son programme Open Source Software VRP. Désormais, le géant de la technologie exige des preuves de reproduction via OSS-Fuzz ou un patch déjà fusionné pour filtrer le bruit causé par les rapports non pertinents.

Une approche européenne différente

En Europe, la situation est quelque peu différente. YesWeHack, une plateforme française, a vu les collaborations entre chasseurs de failles augmenter de 520 % depuis 2022. Devenue fournisseur privilégié de la Commission européenne pour les bug bounties open source, YesWeHack adopte un modèle hybride où l'IA assiste le triage, mais les chasseurs conservent la main sur l'analyse. Des institutions comme France Identité et l'Armée française participent à ces programmes encadrés.

Par ailleurs, la Linux Foundation a obtenu 12,5 millions de dollars de financement de la part de Google, Anthropic, AWS, Microsoft et OpenAI. Ces fonds sont destinés à développer des outils IA pour les mainteneurs, et non pour les soumetteurs, avec pour objectif d'automatiser le tri des rapports plutôt que leur découverte.

Le véritable danger réside dans le fait que l'IA pourrait rendre le métier de chasseur de failles économiquement insoutenable en inondant les programmes de sécurité de signalements inutiles, que personne n'a les moyens de filtrer efficacement.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires