L'IA déclenche une guerre des chasseurs de bugs : qui va gagner ?

LES PROGRAMMES DE RÉCOMPENSES POUR BUGS PRENNENT UNE TOURNURE INÉDITE

Il y a dix ans, les programmes incitant les chercheurs à signaler les failles logicielles commençaient tout juste à se généraliser. Ces dispositifs, appelés programmes de divulgation de vulnérabilités ou bug bounties, marquaient un tournant : les institutions passaient d’une attitude hostile à une reconnaissance de l’utilité des signalements. En 2016, Apple lançait son propre programme avec une récompense maximale de 200 000 dollars. Le montant a grimpé à 1 million en 2019, puis à 2 millions l’an dernier. Mais cette évolution n’est qu’un début.

LES IA AGENTIQUES RÉVOLUTIONNENT LA CHASSE AUX FAILLES

Les modèles d’IA agentique deviennent de plus en plus doués pour identifier des vulnérabilités logicielles et même créer des exploits (des Outils permettant d’exploiter ces failles). Autrement dit, elles repèrent les faiblesses et fabriquent elles-mêmes les moyens de les attaquer. Résultat : les programmes de récompenses pour bugs sont submergés, tandis que les organisations découvrent elles-mêmes plus de failles que jamais. Cette abondance bouleverse l’économie des bug bounties pour les entreprises comme pour les chercheurs, dont certains en vivent ou complètent leurs revenus grâce à cette activité.

Joseph Thacker, chercheur indépendant en sécurité informatique et spécialiste des outils d’IA pour la chasse aux bugs, constate déjà l’ampleur du changement : « J’ai probablement soumis trois fois plus de bugs cette année qu’à la même période l’an dernier. Je suppose qu’une entreprise comme Google va dépenser entre deux et dix fois plus pour les récompenses qu’en 2023. »

LES ENTREPRISES SOUS PRESSION FACE À L’INFLATION DES SIGNALEMENTS

Les géants technologiques peuvent absorber cette pression, mais la plupart des entreprises ne le peuvent pas, explique Thacker. « Actuellement, les chercheurs soumettent surtout des bugs faciles à trouver, car les IA en détectent de très bons. Mais l’année prochaine, il y aura moins de soumissions, car beaucoup de ces failles auront déjà été identifiées. Certaines entreprises pourraient alors augmenter à nouveau leurs récompenses. »

Si les IA deviennent encore plus efficaces pour découvrir des exploits, les développeurs pourraient se sentir obligés de publier des correctifs encore plus rapidement. Cela pourrait accélérer des normes comme les délais de divulgation responsables (périodes de 90 jours entre la découverte d’une faille et sa publication publique, conçues pour inciter à la correction). Himanshu Anand, chercheur en sécurité, résume : « Le délai de 90 jours était adapté à un monde où les découvreurs de bugs étaient rares et le développement d’exploits lent. Ce monde n’existe plus. Les grands modèles de langage (LLM) ont compressé ces délais. »

LA MENACE DES ATTAQUANTS QUI UTILISENT L’IA POUR PIQUER DES FAILLES ZÉRO JOUR

L’urgence des attaques réelles facilitées par l’IA semble s’intensifier. Des acteurs sophistiqués comme des criminels moins expérimentés cherchent à étendre leurs capacités et à réduire leurs coûts. Des chercheurs de Google ont révélé ce mois-ci avoir observé des « acteurs majeurs de la cybercriminalité » (qu’ils n’ont pas identifiés) tenter d’exploiter une faille zéro jour (une vulnérabilité inconnue jusqu’alors). Cette faille avait été développée grâce à des outils d’IA pour contourner l’authentification à deux facteurs sur une plateforme open source d’administration système. Google a prévenu le développeur, qui a publié un correctif. Pourtant, cet incident illustre un changement majeur dans le paysage de la chasse aux bugs.

John Hultquist, analyste en chef du groupe de renseignement sur les menaces de Google, confirme : « Nous pensions déjà que c’était le cas, mais c’est la première preuve que cela se produit : les attaquants utilisent l’IA pour découvrir des vulnérabilités inédites et créer des exploits. »

Il ajoute : « Les enjeux liés aux États-nations sont très sérieux et réels, mais les acteurs criminels représentent la majorité des incidents que les organisations doivent gérer. Beaucoup de ces incidents sont graves. L’utilisation de failles zéro jour par des criminels reste limitée, mais ceux qui en disposent réussissent généralement très bien leurs attaques. Nous ne devons donc pas sous-estimer l’impact d’un nombre croissant de criminels armés de failles zéro jour. »

LES CHERCHEURS EN SÉCURITÉ FACE À UNE QUALITÉ DE SIGNALEMENTS EN BAISSE

Pour les chercheurs qui gagnent leur vie grâce à la chasse aux bugs, les temps changent. En janvier, l’outil en ligne de commande Curl a mis fin à son programme de récompenses pour bugs (géré via la plateforme tierce HackerOne) après avoir été submergé par des signalements de mauvaise qualité générés par des IA.

L’équipe de Curl a expliqué : « Nous avons tiré la leçon à nos dépens : un programme de récompenses donne trop d’incitations aux gens pour trouver et inventer des ‘problèmes’ de mauvaise foi, ce qui cause une surcharge et des abus. » Elle a ajouté : « Nous apprécions toujours les signalements valides de vulnérabilités. »

La semaine dernière, Linus Torvalds, créateur et développeur principal de Linux, a écrit que la célèbre liste de diffusion dédiée à la sécurité de Linux était devenue « presque ingérable » en raison du volume élevé et des doublons de signalements générés par des IA.

MAIS LES SIGNALEMENTS DE BONNE QUALITÉ SE MULTIPLIENT AUSSI

Pourtant, en avril, Daniel Stenberg, fondateur et développeur principal de Curl, a partagé sur LinkedIn une évolution inattendue : « Ces derniers mois, nous avons cessé de recevoir des signalements de sécurité médiocres générés par des IA dans le projet Curl. À la place, nous recevons une quantité toujours croissante de très bons signalements, presque tous réalisés avec l’aide des IA. Ils sont soumis avec une fréquence sans précédent et nous mettent sous une pression sérieuse. »

GOOGLE AJUSTE SES PROGRAMMES DE RÉCOMPENSES POUR RÉPONDRE À L’IA

Fin avril, Google a annoncé une refonte de ses programmes de récompenses pour les vulnérabilités (Vulnerability Reward Programs) concernant Chrome et Android. L’entreprise a réduit les paiements pour certaines catégories de bugs, tout en augmentant ceux pour d’autres.

« Dans un paysage de recherche en sécurité qui évolue avec l’IA, nous adaptons nos programmes pour récompenser les vulnérabilités les plus difficiles et impactantes dans nos produits », a expliqué la société.

LES CHERCHEURS ÉTHIQUES RESTENT INDISPENSABLES FACE À L’IA

Jonathan Dunn, cardiologue et chasseur de bugs, estime que « les chasseurs de bugs du 90e percentile, dotés de compétences particulières, pourront toujours trouver des failles et obtenir des récompenses des grandes entreprises. » Mais il ajoute : « Même avec l’IA, nous devons aussi fortement inciter les chercheurs éthiques à découvrir des vulnérabilités sur des infrastructures publiques et d’autres systèmes critiques qui, autrement, pourraient ne pas attirer l’attention des défenseurs. »

LES ENTREPRISES MULTIPLIENT LES SOLUTIONS POUR FAIRE FACE À LA DÉCOUVERTE ACCÉLÉRÉE DE BUGS

Pour l’instant, la plupart des organisations semblent prêtes à tester toutes les solutions possibles face au problème (et au bénéfice) de la découverte accélérée de bugs. Alex Zenla, directeur technique de la société de sécurité cloud Edera, résume : « Cela change la dynamique de l’industrie de la chasse aux bugs, mais cela nécessite absolument du temps humain. »

ANTHROPIC OUVRE SON PROPRE PROGRAMME DE RÉCOMPENSES POUR BUGS

Ce mois-ci, Anthropic a lancé un programme de récompenses pour bugs sur HackerOne, permettant aux chercheurs de soumettre des signalements sur ses propres systèmes et ses modèles d’IA Claude. Cette initiative montre que les entreprises technologiques intègrent désormais l’IA dans leur propre gestion des vulnérabilités.

VERS DES DÉFENSES STRUCTURELLES CONTRE LES FAILLES INDUITES PAR L’IA

Certains chercheurs estiment que des défenses structurelles sont désormais nécessaires pour faire face à l’accélération de la découverte de vulnérabilités. Niels Provos, ingénieur et chercheur en sécurité de longue date, est catégorique : « On ne peut pas corriger son chemin vers la solution. Il faut construire une infrastructure qui rend autant de bugs que possible sans importance. »

En résumé, l’ère de l’IA redéfinit les règles du jeu dans la sécurité informatique. Les entreprises et chercheurs doivent s’adapter rapidement pour ne pas être submergés par cette nouvelle réalité.