đ Le pitch de DARPA Ă DEF CON
Lors du DEF CON 33 (le Disneyland des hackers, version Vegas), DARPA est venue prĂ©senter son grand show : lâAI Cyber Challenge (AIxCC). Une compĂ©tition oĂč des Ă©quipes dâĂ©lite devaient mettre au point des IA capables de trouver et de corriger des failles dans du code open source critique.
RĂ©sultat ?
- â  54 vulnĂ©rabilitĂ©s uniques dĂ©tectĂ©es dans 54 millions de lignes de code.
- â  43 patchĂ©es automatiquement.
- â Et cerise sur le gĂąteau : 18 vraies failles de production dĂ©couvertes, dont 11 corrigĂ©es par ces intelligences artificielles.
Bref, lâIA nâa pas seulement jouĂ© avec des vulnĂ©rabilitĂ©s de labo : elle a mis le doigt sur des vraies fissures de nos murs numĂ©riques. Sympa⊠ou inquiĂ©tant, selon votre niveau de paranoĂŻa.
đ€ Le jackpot pour les gagnants
Ah, le patriotisme cyber version cash :
- đ„ Team Atlanta : 4 millions de dollars.
- đ„ Trail of Bits : 3 millions.
- đ„ Theori : 1,5 million.
Tout ça pour avoir codĂ© des CRSes (Cyber Reasoning Systems) qui patchent plus vite quâun admin sous cafĂ©ine triple dose.
Coût moyen par correction ? 152 $.
Comparons avec les programmes de bug bounty oĂč une faille peut coĂ»ter plusieurs milliers de dollars⊠Autant dire que lâIA a un meilleur rapport qualitĂ©/prix que le hacker freelance en hoodie dans son garage.
âĄïž La promesse dâefficacitĂ© (et la tentation du pilote automatique)
DARPA et ses experts jubilent :
- â±ïž Une faille trouvĂ©e et corrigĂ©e en 45 minutes.
- đ 77 % de vulnĂ©rabilitĂ©s dĂ©tectĂ©es, 61 % corrigĂ©es.
- đ Et bientĂŽt, tout ça en open source pour que le monde entier en profite.
Ăa donne presque envie de virer la moitiĂ© des Ă©quipes sĂ©curitĂ© pour les remplacer par un bot dopĂ© au machine learning, non ?
đ Sarcasme du jour : les clĂ©s du chĂąteau
Sauf que⊠(et voilà le sarcasme qui arrive).
Donner Ă une IA la gestion complĂšte de la sĂ©curitĂ© open source, câest un peu comme :
- đ°Â Confier les clĂ©s du chĂąteau à un stagiaire quâon nâa jamais rencontrĂ©.
- đ§ââïž Ou demander Ă Â Dr. ChatGPT de vous opĂ©rer Ă cĆur ouvert en tĂ©lĂ©travail.
- đ Sans supervision humaine, on ne sait jamais si lâIA patchera vraiment la faille⊠ou si elle ne plantera pas un joli backdoor au passage.
Et imaginez une IA qui corrige en masse⊠mais introduit un bug critique dans une librairie mondiale type OpenSSL ou glibc. Bonjour le chaos planétaire.
đ„ Adoption massive : bonne idĂ©e ou Titanic numĂ©rique ?
DARPA prĂ©voit dĂ©jĂ de dĂ©ployer ces joujoux IA dans les agences gouvernementales et mĂȘme dans la santĂ© via ARPA-H.
đ Les hĂŽpitaux, dĂ©jĂ incapables de gĂ©rer une mise Ă jour Windows sans planter les scanners, vont se retrouver avec des patchs automatiques dâIA injectĂ©s dans leurs logiciels critiques. Quâest-ce qui pourrait mal se passer ? (RĂ©ponse : tout.)
đĄ Ce quâon oublie (mais qui pique un peu)
- Les vulnérabilités corrigées par IA sont bien jolies, mais qui audite le correctif ?
- Si un acteur malveillant reprend ce code open source « corrigĂ© », il peut aussi comprendre les mĂ©thodes, les dĂ©rives⊠et trouver de nouveaux angles dâattaque.
- Et puis il y a lâeffet paresse : si demain tout est patchĂ© automatiquement, les devs et les Ă©quipes sĂ©cu ne prendront plus le temps de comprendre leurs erreurs. RĂ©sultat ? Un Ă©cosystĂšme encore plus dĂ©pendant dâune boĂźte noire.
𧚠Lâironie finale : une dĂ©pendance stratĂ©gique
En fait, lâinitiative DARPA est brillante techniquement et terrifiante stratĂ©giquement.
- Oui, ça accélÚre la chasse aux vulnérabilités.
- Oui, ça permet de soulager les devs déjà noyés dans les tickets Jira.
- Mais câest aussi la porte ouverte Ă une dĂ©pendance totale : demain, si les CRSes plantent ou sont compromis, ce sera lâĂ©quivalent dâune panne mondiale de sĂ©curitĂ© automatisĂ©e.
â Conclusion
On applaudit DARPA et ses Ă©quipes : avoir transformĂ© lâIA en patch-bot de luxe, câest un exploit. Mais Ă force de vouloir tout dĂ©lĂ©guer Ă la machine, on risque de se retrouver dans une situation absurde :
đ Les humains ne savent plus patcher.
đ Les IA corrigent, mais personne ne comprend vraiment ce quâelles font.
đ Et un jour, une IA mal intentionnĂ©e (ou corrompue) tiendra les clĂ©s de tout lâĂ©cosystĂšme open source.
Alors, faut-il applaudir ou trembler ? Probablement les deux.
En attendant, je garde encore un petit faible pour les patchs « Ă lâancienne » : un admin fatiguĂ©, un cafĂ© froid, et une ligne de code corrigĂ©e manuellement Ă 3h du matin. Au moins, lĂ , on sait Ă qui donner les clĂ©s du chĂąteau. đ°â
