Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
L'IA bouleverse la sécurité : les correctifs deviennent des exploits en 30 minutes
Himanshu Anand, un expert reconnu dans le domaine de la sécurité informatique, met en lumière une transformation radicale dans le processus de divulgation des vulnérabilités. Selon lui, les modèles de langage basés sur l'intelligence artificielle ont perturbé le cadre traditionnel de divulgation de 90 jours, permettant à plusieurs chercheurs de découvrir simultanément les mêmes failles de sécurité.
Les outils d'IA offrent désormais aux attaquants la capacité de transformer des correctifs de sécurité en exploits fonctionnels en un temps record, souvent en quelques minutes seulement. Cette avancée technologique réduit considérablement le délai dont disposaient auparavant les fournisseurs et les administrateurs pour sécuriser leurs systèmes.
Anand insiste sur l'urgence pour les fournisseurs de traiter les bugs critiques comme des priorités absolues, pour les chercheurs de réduire les délais de divulgation, et pour les administrateurs de déployer les correctifs sans délai afin de suivre le rythme effréné des menaces assistées par l'IA.
Un processus de divulgation obsolète
Lorsqu'une vulnérabilité critique est découverte, la procédure standard consiste à la signaler au fournisseur concerné, qui dispose alors de 90 jours pour publier un correctif avant que l'information ne soit rendue publique. Ce modèle, largement adopté grâce au Project Zero de Google, repose sur quatre hypothèses clés, que Himanshu Anand estime désormais caduques.
Premièrement, il était supposé que la personne découvrant le bug était probablement la seule à l'avoir identifié. Deuxièmement, même si d'autres chercheurs trouvaient la même faille, ils prendraient chacun leur temps pour la signaler. Troisièmement, le fournisseur bénéficiait d'une avance confortable pour développer un correctif. Enfin, après la publication d'un correctif, il était admis que les attaquants mettraient plusieurs jours, voire semaines, pour créer un exploit fonctionnel.
Avec plus de dix ans d'expérience en cybersécurité et actuellement analyste de sécurité chez Cloudflare, Anand a été finaliste à trois reprises au prestigieux concours de hacking DEF CON. Dans un article de blog, il illustre comment les modèles de langage IA remettent en question ces hypothèses avec trois exemples concrets.
Exemples concrets
Onze journalistes, un bug, six semaines et 30 minutes de correctif à exploit
En avril, Anand a découvert une faille critique dans un site de commerce en ligne, permettant à quiconque de finaliser des achats à zéro dollar. À sa grande surprise, le fournisseur lui a révélé qu'il était la onzième personne à signaler cette faille en l'espace de six semaines. Un membre du personnel de triage a expliqué que dès qu'une faille est découverte à l'aide d'un outil d'IA, une vague de rapports similaires suit rapidement. Anand s'interroge : si dix chercheurs honnêtes trouvent la même faille, combien d'autres la découvrent sans rien dire ? Cela remet en question les hypothèses selon lesquelles la découverte est exclusive et que les découvreurs parallèles nécessitent du temps supplémentaire.
Une faille Linux découverte par l'IA brise l'embargo en quelques heures
Un exemple frappant concerne le noyau Linux. Fin avril, l'équipe Xint Code a publié une vulnérabilité baptisée "Copy Fail", découverte grâce à un scan d'IA d'une heure. Un script de 732 octets permettait aux attaquants d'obtenir un accès root sur presque toutes les distributions Linux depuis 2017. En quelques jours, des acteurs malveillants iraniens exploitaient cette faille pour détourner des serveurs et lancer des attaques DDoS.
Une semaine plus tard, le chercheur Hyunwoo Kim a révélé une vulnérabilité nommée "Dirty Frag". Kim avait négocié un embargo de cinq jours avec les distributions Linux pour préparer des correctifs. Cependant, cet embargo a été rompu en quelques heures par des tiers ayant découvert et publié indépendamment la même classe de vulnérabilité. Lorsque les détails ont été rendus publics, aucune distribution n'avait de correctif prêt. L'équipe de Microsoft Defender a confirmé une exploitation active dans les 24 heures.
Recommandations pour les acteurs concernés
Anand propose des recommandations spécifiques pour trois groupes principaux :
-
Les fournisseurs devraient traiter les bugs critiques comme des urgences P0, les corrigeant immédiatement sans attendre les cycles de développement habituels. Le compte à rebours commence dès la réception d'un rapport, et non lors de réunions de triage.
-
Les chercheurs devraient militer pour des délais de divulgation plus courts, car statistiquement, ils ne sont plus les seuls à connaître une faille donnée.
-
Les administrateurs doivent déployer les correctifs immédiatement, sans attendre la prochaine fenêtre de maintenance mensuelle.
En outre, les équipes de développement devraient intégrer des modèles de langage de manière proactive dans leurs processus, les utilisant pour analyser automatiquement les différences de correctifs, scanner en continu leurs propres dépendances, et vérifier l'efficacité des correctifs déployés. Anand souligne que les attaquants ont déjà adopté ces pratiques, et "en ce moment, les attaquants gagnent cette course."
