Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
L'impact de l'IA sur les programmes de bug bounty
Les programmes de bug bounty, essentiels pour la cybersécurité, sont aujourd'hui confrontés à une crise provoquée par l'usage intensif de l'intelligence artificielle. HackerOne, une plateforme majeure dans ce domaine, a récemment décidé de suspendre les paiements de son programme historique, actif depuis 2012 et ayant distribué plus de 1,5 million de dollars. Cette décision est motivée par une saturation artificielle des rapports, une conséquence directe de l'utilisation de l'IA.
L'Internet Bug Bounty (IBB) a traditionnellement alloué 80 % de ses fonds à la découverte de nouvelles failles et 20 % à leur correction. Cependant, l'IA a considérablement augmenté le nombre de soumissions sans en améliorer la qualité. HackerOne a reconnu que la recherche assistée par l'IA a étendu la découverte de vulnérabilités à l'ensemble de l'écosystème, déséquilibrant ainsi le rapport entre signalements et capacité de traitement.
Node.js et Google réagissent
Node.js, l'un des premiers projets touchés, continue d'accepter les rapports via HackerOne, mais sans offrir de récompenses financières. Cette situation n'est pas unique. En janvier, Daniel Stenberg, le créateur de Curl, a fermé son programme après avoir reçu vingt rapports en trois semaines, dont aucun ne décrivait une vulnérabilité réelle. En 2025, seulement 5 % des soumissions Curl étaient exploitables, chaque faux rapport nécessitant entre 30 minutes et 3 heures de validation par des bénévoles.
Google a également réagi en durcissant les conditions de son programme Open Source Software VRP. Désormais, le géant de la technologie exige des preuves de reproduction via OSS-Fuzz ou un patch déjà fusionné pour filtrer le bruit causé par les rapports non pertinents.
Une approche européenne différente
En Europe, la situation est quelque peu différente. YesWeHack, une plateforme française, a vu les collaborations entre chasseurs de failles augmenter de 520 % depuis 2022. Devenue fournisseur privilégié de la Commission européenne pour les bug bounties open source, YesWeHack adopte un modèle hybride où l'IA assiste le triage, mais les chasseurs conservent la main sur l'analyse. Des institutions comme France Identité et l'Armée française participent à ces programmes encadrés.
Par ailleurs, la Linux Foundation a obtenu 12,5 millions de dollars de financement de la part de Google, Anthropic, AWS, Microsoft et OpenAI. Ces fonds sont destinés à développer des outils IA pour les mainteneurs, et non pour les soumetteurs, avec pour objectif d'automatiser le tri des rapports plutôt que leur découverte.
Le véritable danger réside dans le fait que l'IA pourrait rendre le métier de chasseur de failles économiquement insoutenable en inondant les programmes de sécurité de signalements inutiles, que personne n'a les moyens de filtrer efficacement.


