Repérer les failles de sécurité est une opération coûteuse, mais qui fait partie du quotidien des entreprises désireuses d’éviter les cyberattaques. Traditionnellement, ces sociétés recrutent des « white hats », c’est-à-dire des hackers éthiques payés pour détecter les vulnérabilités avant de vrais pirates informatiques aux intentions plus hostiles.
Ce marché de la chasse aux bugs (ou bug bounty) voit émerger aujourd’hui une nouvelle recrue de poids, qui pourrait diablement être efficace : l’IA. Il s’avère que Google, véritable poids lourd du web, parie d’ores et déjà sur la révolution de l’intelligence artificielle. Chiffres à l’appui.
Google dit avoir trouvé 20 vulnérabilités de sécurité grâce à son IA
En novembre 2024, Google dévoilait Big Sleep, son intelligence artificielle dédiée à la cybersécurité, en annonçant la découverte d’une faille dite « zero-day », une vulnérabilité informatique jusqu’alors inconnue — ou du moins, qui n’a jamais été rendue publique.
Quelques mois plus tard, la firme de Mountain View révèle que ce même outil, avec l’aide de Gemini, le chatbot made in Google et grand rival de ChatGPT, a identifié de 20 failles critiques. D’après l’entreprise, Big Sleep a même complètement « dépassé leurs attentes. »
Comment fonctionne Big Sleep ?
Sur son blog, Google explique que Big Sleep analyse en permanence le fonctionnement des systèmes et les évènements pour anticiper les attaques. Ce type d’approche change la donne face à ce que l’on appelle le « dilemme du défenseur ».
Le principe est simple à saisir : pour compromettre un système, un attaquant n’a besoin que d’un seul point d’entrée. En revanche, le défenseur, lui, doit sécuriser l’ensemble des points d’entrée, sans rien laisser passer, car il suffit qu’une porte soit ouverte pour que mettre en péril le système. Avec l’IA, Google surveille toutes ces portes simultanément, avec Big Sleep qui tient une sorte de rôle de vigile.
De cette façon, l’entreprise dit avoir obtenu des améliorations notables en matière de sécurité, tout en économisant sur les récompenses qu’elle verse habituellement aux chasseurs de bugs traditionnels. Le bug bounty reste, en effet, un secteur lucratif pour les meilleurs profils, avec parfois des primes très conséquentes à la clé — il n’est pas rare devoir des récompenses qui vont jusqu’à plusieurs milliers d’euros, et parfois plus encore.
En 2024, Google a dépensé presque 12 millions de dollars en récompenses sur ce terrain. C’est d’ailleurs un budget en hausse constante depuis 2012, avec des versements cumulés atteignant 65 millions de dollars. Cela étant, cette courbe semble se stabiliser depuis maintenant deux ans — ce qui peut se corréler avec l’usage croissant de l’IA. Google parviendrait donc à réduire les coûts, ou du moins à les maîtriser davantage. C’est toutefois à nuancer, car il y a aussi un coût inhérent au développement et fonctionnement de ces systèmes automatisés.
L’IA va-t-elle remplacer les chasseurs de bugs ?
Google est clair sur la question : l’objectif est d’être plus efficace et de concevoir des outils et des agents capables d’alléger la pression qui pèse sur les équipes de cybersécurité. L’entreprise ne positionne donc pas l’IA comme un remplaçant des chasseurs de bugs, mais peut-être plus comme un complément… et une manière de doser les dépenses.
Pour traiter les rapports de vulnérabilités, Big Sleep a encore besoin d’une supervision humaine pour fonctionner correctement.
C’est ce qu’a confirmé une porte-parole de Google, Kimberly Samra, dans une interview accordée à TechCrunch : « Pour garantir des rapports de haute qualité et exploitables, nous avons un expert humain dans la boucle avant de signaler, mais chaque vulnérabilité a été trouvée et reproduite par l’agent IA sans intervention humaine. »
Reste aussi tout le volet de la correction des bugs, qui semble encore être majoritairement conduit par des humains.
De fait, l’ensemble de l’écosystème se réorganise graduellement autour de l’IA. En tout cas, les commentaires de Google pourraient donner un nouveau signal fort d’adoption.
D’autres exemples sont notables, comme l’outil d’IA XBow, qui commence à se faire une place parmi les meilleurs « bounty hunters » automatisés sur HackerOne, deuxième grande plateforme de référence pour la chasse aux bugs. On parle de 260 vulnérabilités découvertes pour des entreprises comme Starbucks, IBM, Toyota ou encore Epic Games, pour n’en citer qu’une poignée.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour de l’actu en petit comité, rejoignez la communauté Numerama sur WhatsApp !