Face à l'essor des cyberattaques à 1 dollar, les défenses durables font leurs preuves
Transformer une faille logicielle nouvellement découverte en cyberattaque prenait autrefois plusieurs mois. Aujourd'hui, les modèles d'IA générative peuvent accomplir la même opération en quelques minutes, pour moins d'un dollar de temps de calcul cloud. Anthropic a récemment illustré cette réalité avec son projet Glasswing : le modèle Claude Mythos a permis de détecter de manière préventive plus de mille vulnérabilités zero-day, dont des failles présentes dans chaque grand système d'exploitation et navigateur web du marché. Anthropic a coordonné la divulgation responsable de ces failles et travaillé à leur correction avant qu'elles ne soient exploitées. Ce qui relevait jadis du travail d'une équipe de chercheurs en sécurité pendant des semaines peut désormais être accompli, en théorie, avec une simple requête textuelle adressée à un LLM.
L'impact de cette évolution est profondément asymétrique. Du côté offensif, les attaquants n'ont plus besoin d'une expertise technique avancée pour exploiter des vulnérabilités : les outils d'IA font le gros du travail. Des recherches récentes montrent que des modèles capables peuvent identifier et exploiter des failles de manière autonome, comprimant drastiquement le délai entre la découverte d'un bug et la production d'un exploit fonctionnel. Du côté défensif, en revanche, des ingénieurs humains restent indispensables pour lire, évaluer et agir sur ce que les modèles remontent. La vulnérabilité Log4j en 2021 illustre l'ampleur des risques : une faille critique dans une simple bibliothèque de journalisation, maintenue par une poignée de bénévoles, a exposé des centaines de millions d'appareils à travers le monde. L'essentiel du code sur lequel repose l'infrastructure numérique mondiale est maintenu par de petites équipes sans ressources dédiées à la sécurité.
La situation rappelle une vague précédente d'automatisation de la découverte de failles. Au début des années 2010, des outils de fuzzing comme American Fuzzy Lop (AFL) ont mis à nu des vulnérabilités critiques dans tous les grands navigateurs et systèmes d'exploitation. La réponse de l'industrie a été d'industrialiser la défense : Google a construit OSS-Fuzz, un système qui exécute des tests en continu sur des milliers de projets open source. L'hypothèse dominante est que la découverte de failles par IA suivra le même arc, avec une intégration progressive dans les pipelines de développement standard. Mais la comparaison a ses limites : le fuzzing exigeait une expertise technique pointue pour être déployé, là où un LLM suffit aujourd'hui d'une invite en langage naturel. La question centrale reste ouverte : l'IA profitera-t-elle davantage aux attaquants ou aux défenseurs ? Le coût de découverte et d'exploitation des bugs tend vers zéro, mais celui de leur correction, lui, ne diminue pas.
Les organisations et infrastructures critiques européennes soumises à NIS2 sont directement concernées par cette asymétrie : les attaquants bénéficient désormais d'outils IA quasi-gratuits, tandis que la correction des vulnérabilités reste coûteuse et dépendante d'ingénieurs humains.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
