Mozilla a annoncé une étape importante dans ses efforts en matière de cybersécurité : la dernière version de Firefox (version 150) inclut des protections contre 271 vulnérabilités identifiées grâce à un accès anticipé au « Mythos Preview » d’Anthropic.
Ce nettoyage massif met en évidence un changement de paradigme en matière de sécurité logicielle. À mesure que les modèles d’IA deviennent plus capables d’identifier les failles profondément enracinées, la course entre les défenseurs des logiciels et les cyberattaquants entre dans un nouveau chapitre aux enjeux élevés.
Le virage de l’IA : de la chasse manuelle à la découverte automatisée
Pendant des années, la recherche de vulnérabilités logicielles a suivi une approche à deux volets :
1. Tests automatisés (tels que le “fuzzing”) pour détecter les erreurs courantes.
2. Recherche manuelle par des humains hautement qualifiés pour trouver des défauts complexes basés sur la logique.
Historiquement, les bugs les plus dangereux – ceux qui nécessitent une profonde intuition humaine – étaient les plus difficiles à détecter pour les machines. Cela a créé une « barrière à l’entrée » élevée pour les attaquants ; il a fallu des millions de dollars en expertise humaine pour découvrir les exploits les plus dévastateurs.
Cependant, selon Bobby Holley, CTO de Firefox, l’IA brise cette barrière. L’aperçu Mythos permet l’utilisation de techniques automatisées qui peuvent potentiellement couvrir « tout l’espace » des bogues induisant des vulnérabilités. Cela signifie que les bogues « coûteux » qui nécessitaient autrefois des pirates informatiques humains d’élite sont désormais détectables par l’IA.
Un “Software Bootcamp” pour l’ère de l’IA
Holley décrit le moment actuel comme une « période transitoire » nécessaire mais difficile. Il suggère que chaque logiciel devra bientôt subir une refonte massive, basée sur l’IA, pour éliminer les bogues latents qui existent depuis des années mais qui étaient auparavant cachés.
“Chaque logiciel devra effectuer cette transition, car chaque logiciel contient de nombreux bogues enfouis sous la surface qui sont désormais détectables.” — Bobby Holley, directeur technique de Firefox
Même si Mozilla a pu tirer parti d’une collaboration directe avec Anthropic pour prendre une longueur d’avance, cette « chasse aux bogues » présente un défi de taille pour le reste de l’industrie.
L’écart de vulnérabilité Open Source
Alors que de grandes entreprises comme Mozilla peuvent consacrer d’énormes ressources d’ingénierie à la résolution de ces failles découvertes par l’IA, un risque important se profile pour l’écosystème open source.
L’industrie du logiciel s’appuie fortement sur des projets open source, souvent gérés par de petits groupes de bénévoles ou même par des individus isolés. Cela crée plusieurs points d’échec critiques :
– Pénurie de ressources : Les petits projets manquent de financement ou de personnel pour corriger des centaines de bugs à la fois.
– Le risque « Abandonware » : Les logiciels non maintenus deviennent une mine d’or pour les attaquants utilisant l’IA pour trouver des exploits.
– L’écart d’inégalité : On craint de plus en plus que les entreprises bien financées utilisent l’IA pour se renforcer, alors que les logiciels libres fondamentaux sur lesquels le monde s’appuie restent vulnérables.
Comme l’a souligné Raffi Krikorian, directeur technique de Mozilla, l’économie sous-jacente d’Internet reste inchangée : l’infrastructure la plus vitale est souvent entretenue gratuitement, tandis que de grandes entreprises bâtissent leur fortune dessus sans contribuer à son entretien.
Conclusion
L’intégration de l’IA dans la cybersécurité est une arme à double tranchant : elle fournit aux défenseurs des outils sans précédent pour nettoyer le code, mais elle fournit également aux attaquants une feuille de route pour exploiter des failles auparavant « introuvables ». L’industrie est désormais confrontée à une tâche massive et coordonnée pour sécuriser les fondations numériques avant que ces capacités d’IA ne tombent entièrement entre les mains d’acteurs malveillants.
