La sécurité logicielle a toujours fonctionné un peu comme le fait la médecine.
Les médecins recherchent les problèmes, diagnostiquent ce qui ne va pas et prescrivent des traitements avant que les choses ne s’aggravent. Le logiciel fonctionne à peu près de la même manière. Les ingénieurs découvrent des bugs, les développeurs publient des correctifs et les entreprises espèrent que les correctifs arriveront avant que les attaquants ne découvrent les mêmes faiblesses.
Ce n’est pas parfait. Mais derrière ce processus compliqué, une selected est toujours restée la même.
Tout le monde évoluait à vitesse humaine.
Cela a donné aux équipes logicielles le temps de détecter les problèmes et de corriger les erreurs avant qu’elles ne se transforment en désastre.
Ce système de base a survécu à l’essor d’Web, des smartphones et du cloud computing.
Mais on begin à penser que l’IA vient de tout casser.
Projet Aile de Verre
Anthropic vient de publier une nouvelle mise à jour du projet Glasswing.
Et c’est un vrai délire.
Pour rappel, le projet Glasswing est l’effort d’Anthropic visant à utiliser l’IA pour rechercher automatiquement dans les logiciels les failles de sécurité cachées avant que les pirates ne puissent les exploiter.
Pour ce faire, Anthropic a utilisé sa nouvelle IA Mythos pour analyser plus de 1 000 projets logiciels open supply, principalement des outils et des bibliothèques de codes qui contribuent à alimenter les websites Net, les plates-formes cloud et une grande partie de l’Web moderne.
Et Mythos a trouvé BEAUCOUP de faiblesses potentielles.
Selon Anthropic, le système a identifié plus de 23 000 vulnérabilités logicielles possibles. Plus de 6 200 ont été considérés comme de gravité « élevée » ou « critique », ce qui signifie qu’ils pourraient potentiellement permettre à des attaquants de voler des données, de faire planter des systèmes ou d’obtenir un accès non autorisé à des logiciels.
C’est déjà un chiffre énorme. Mais une autre statistique est peut-être plus révélatrice.
Automobile l’un des plus gros problèmes des outils de sécurité de l’IA est qu’ils produisent souvent de fausses alarmes. Ils peuvent signaler un code inoffensif comme dangereux, ce qui fait perdre énormément de temps aux développeurs qui tentent de trier les résultats.
Mais Anthropic affirme que parmi les résultats de gravité élevée et critique examinés jusqu’à présent, plus de 90 % se sont révélés être des vulnérabilités légitimes.
Cela suggère que Mythos ne génère pas seulement du bruit. Il s’agit de découvrir de vrais problèmes à une échelle que les humains auraient du mal à suivre.
La sécurité des logiciels a toujours été une course.
Les attaquants recherchent les faiblesses qu’ils peuvent exploiter, tandis que les développeurs et les équipes de sécurité se précipitent pour trouver et corriger ces mêmes failles en premier. Le camp qui avance le plus rapidement gagne généralement.
Mais cela a surtout fonctionné parce que les humains mettent du temps à découvrir les vulnérabilités des logiciels.
La détection de failles logicielles graves nécessite une experience, de la endurance et du temps rares. Vous avez besoin de personnes qui comprennent suffisamment bien le code pour repérer les erreurs manquées par d’autres. Cela rend la recherche sur la vulnérabilité précieuse, mais également limitée.
L’IA change l’équation.
En effet, cela donne aux défenseurs et aux attaquants un moyen de rechercher les faiblesses plus rapidement, sur plus de code, avec moins de goulots d’étranglement humains.
Cela ne signifie pas que chaque adolescent possédant un chatbot peut soudainement devenir un hacker d’élite. Mais cela signifie que l’ancienne pénurie begin à disparaître.
Et nous le voyons déjà se produire.
Google a récemment déclaré avoir démantelé un groupe criminel qui utilisait l’IA pour aider à découvrir et à militariser une vulnérabilité logicielle jusqu’alors inconnue avant un événement d’exploitation huge planifié.
John Hultquist, analyste en chef du Risk Intelligence Group de Google, a déclaré : « L’ère de la vulnérabilité et de l’exploitation basées sur l’IA est déjà là. »
Mais nous savions que cela allait arriver depuis un second.
Pendant des années, les specialists en cybersécurité ont averti que l’IA pourrait éventuellement aider les attaquants à trouver et à exploiter les faiblesses cachées. Aujourd’hui, l’une des plus grandes entreprises technologiques au monde reconnaît que le second est venu.
Et les chiffres suggèrent que ce problème s’aggrave.
Le rapport d’enquête sur les violations de données 2026 de Verizon a révélé que les vulnérabilités logicielles étaient responsables de 31 % des violations de données, ce qui en fait le moyen le plus courant pour les attaquants de pénétrer dans les systèmes aujourd’hui.
Picture : Rapport d’enquête sur les violations de données 2026 de Verizon
Cela signifie que les attaquants ne se contentent plus d’inciter les gens à communiquer leurs mots de passe. De plus en plus, ils s’attaquent directement aux factors faibles des logiciels.
Et si l’IA facilite la détection de ces factors faibles, alors c’est tout le modèle de sécurité qui doit changer.
C’est la conclusion vers laquelle pointe la récente mise à jour du projet Glasswing.
L’ancien modèle selon lequel les entreprises publient des logiciels, les chercheurs en sécurité découvrent les faiblesses, les développeurs créent des correctifs et les utilisateurs téléchargent des mises à jour est toujours la norme aujourd’hui.
Vous n’avez pas besoin de chercher plus loin que les mises à jour mensuelles du Patch Tuesday de Microsoft pour le voir en motion.
Mais ce système a été construit pour un monde où les humains donnent le ton.
L’IA rend ce rythme obsolète.
En fait, Anthropic affirme que certains développeurs ont déjà demandé plus de temps pour corriger les vulnérabilités découvertes par Mythos. Non seulement parce qu’ils voulaient vérifier ses conclusions, mais aussi parce qu’ils ont découvert trop rapidement trop de problèmes légitimes.
Cela vous montre pourquoi les choses doivent changer.
Autrefois, la partie difficile de la cybersécurité consistait à découvrir des vulnérabilités cachées. Aujourd’hui, l’IA begin à en faire la partie la plus facile.
Cela signifie que le prochain grand défi sera de réparer tout ce que l’IA découvre avant que de mauvaises personnes ne puissent l’exploiter.
Voici mon avis
Le monde fonctionne désormais grâce à des logiciels.
Les banques, les hôpitaux, les companies publics, les entreprises de défense, les compagnies aériennes, les usines et les plateformes cloud dépendent tous d’un code en constante évolution.
Mais ce code n’est jamais parfait. Et plus nous construisons de logiciels, plus nous créons de faiblesses cachées.
L’IA permet aux programmeurs d’écrire des logiciels plus rapidement que jamais. Mais cela permet également aux pirates de trouver des vulnérabilités tout aussi rapidement.
Heureusement, certaines events du monde technologique se préparent déjà à cet avenir.
Plus tôt cette année, la DARPA a organisé son AI Cyber Problem, au cours duquel des systèmes d’IA autonomes se sont affrontés pour découvrir et corriger les vulnérabilités logicielles avec une implication humaine minimale.
Cela suggère que la prochaine génération de cybersécurité ressemblera moins à des mises à jour logicielles mensuelles…
Et plutôt un système immunitaire constamment actif.
Salutations,
Ian KingStratège en chef, Banyan Hill Publishing
Word de l’éditeur : nous serions ravis d’avoir de vos nouvelles !
Si vous souhaitez partager vos réflexions ou solutions sur le Day by day Disruptor, ou s’il y a des sujets spécifiques que vous souhaiteriez que nous abordions, envoyez simplement un e-mail à dailydisruptor@banyanhill.com.
Ne vous inquiétez pas, nous ne révélerons pas votre nom complet si nous publions une réponse. Alors n’hésitez pas à commenter !
-1024x683.jpg "Le Congrès envisage une nouvelle branche de services : la Cyber Force")
