Capital One lance VulnHunter, un outil IA open source qui detecte les failles logicielles avant les hackers
Capital One a dévoilé jeudi VulnHunter, un outil de sécurité open source basé sur l'intelligence artificielle agentique, capable d'analyser le code source pour détecter des vulnérabilités exploitables, de reconstituer le chemin qu'emprunterait un attaquant pour les atteindre, et de proposer des correctifs ciblés avant même la mise en production. L'outil, développé en interne par la banque américaine, est désormais disponible sur GitHub sous licence Apache 2.0. Son architecture repose sur une approche baptisée "analyse prospective centrée sur l'attaquant" : plutôt que de partir d'un motif de code suspect pour remonter vers un scénario d'attaque hypothétique, comme le font les scanners classiques, VulnHunter part des points d'entrée réels qu'un pirate emprunterait, API, messages réseau, téléversements de fichiers, et raisonne vers l'avant pour vérifier si une faille exploitable survit réellement aux défenses déjà en place dans le code. Deuxième innovation clé : un "moteur de falsification" intégré qui tente de réfuter ses propres conclusions avant qu'un développeur ne les voie. Un processus de raisonnement structuré traque les failles logiques, les hypothèses non vérifiées et les conditions qui empêcheraient l'attaque de réussir ; seules les alertes que ce moteur ne parvient pas à invalider remontent jusqu'à un humain, accompagnées d'une explication complète du chemin d'exploitation et d'un correctif de code prêt à être examiné. L'outil fonctionne actuellement avec le modèle Claude Opus 4.8 d'Anthropic, au sein d'un environnement Claude Code, mais Capital One affirme que le cadre pourrait s'adapter à d'autres modèles de fondation et environnements de développement.
Pour l'industrie, cette initiative répond à une urgence que le directeur de la sécurité informatique de Capital One, Chris Nims, résume ainsi : la fenêtre se referme rapidement avant que des capacités d'attaque IA sophistiquées ne deviennent abordables et accessibles à pratiquement n'importe quel adversaire. En rendant public un outil aussi puissant qu'à double usage, potentiellement détournable à des fins offensives, la banque mise sur le fait que les chaînes d'approvisionnement logicielles sont aujourd'hui trop interconnectées pour que la sécurité reste l'affaire d'une seule organisation. Nims insiste sur le fait que les outils défensifs doivent être aussi largement diffusés, testés et améliorés que les bases de code qu'ils protègent, une réponse collective face à une menace qui dépasse les capacités de n'importe quelle entreprise isolée.
Cette démarche s'inscrit dans l'histoire particulière de Capital One en matière de cybersécurité. Le 19 juillet 2019, la banque avait révélé qu'une ancienne employée d'Amazon Web Services, Paige Thompson, avait accédé sans autorisation à des données sensibles, noms, adresses, revenus déclarés, numéros de sécurité sociale et comptes bancaires liés, appartenant à des clients et candidats à ses cartes de crédit. L'intrusion, survenue les 22 et 23 mars 2019, n'avait été découverte qu'après qu'un chercheur en sécurité externe eut signalé une vulnérabilité de configuration via le programme de divulgation responsable de l'entreprise, le 17 juillet suivant, touchant environ 100 millions de personnes aux États-Unis. C'est ce précédent, et la nécessité de reprendre l'initiative face à des attaquants de plus en plus outillés par l'IA, qui motive aujourd'hui la mise à disposition publique de VulnHunter.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.




