### L'IA redéfinit le paysage des vulnérabilités À quelques jours d'intervalle, deux événements majeurs en cybersécurité ont souligné l'impact croissant de l'intelligence artificielle sur la découverte de vulnérabilités et la gestion des correctifs. Une startup spécialisée en sécurité a signalé 21 vulnérabilités inconnues jusqu'alors dans **FFmpeg**, la bibliothèque multimédia omniprésente, toutes identifiées par un agent IA autonome. Parallèlement, **Google** a publié **Chrome 149**, incluant un nombre sans précédent de 429 correctifs de bugs de sécurité. Bien que seuls les bugs **FFmpeg** aient été directement trouvés par l'IA, le volume record de correctifs pour **Chrome** fait suite à la récente refonte du programme de primes aux bugs de **Google**, motivée par un afflux de soumissions générées par l'IA. Les mécanismes diffèrent, mais la pression sous-jacente est constante : l'IA augmente rapidement le volume et la vitesse des vulnérabilités présentées à ceux chargés de sécuriser les actifs numériques. ### FFmpeg sous la loupe : 21 zero-days découverts par l'IA Les découvertes concernant **FFmpeg** proviennent de **depthfirst**, une société de sécurité dont l'agent de sécurité autonome a analysé environ 1,5 million de lignes de code C de **FFmpeg**. Cette analyse a révélé 21 vulnérabilités zero-day confirmées, chacune accompagnée d'une preuve de concept (proof-of-concept) reproductible. **depthfirst** estime le coût de cette campagne automatisée de découverte de vulnérabilités à environ 1 000 $. Fait remarquable, plusieurs de ces bugs étaient latents dans la base de code depuis 15 à 20 ans. Un dépassement de pile (stack overflow) spécifique dans le code de la table de description de service remonte à 2003, restant indétecté pendant 23 ans. La plupart des failles identifiées sont des dépassements de tas (heap overflows) ou de pile situés dans des analyseurs (parsers) et des démultiplexeurs (demuxers), affectant des composants allant du démultiplexeur TS au décodeur VP9. **depthfirst** a confirmé que certains de ces bugs ont déjà des identifiants **CVE** attribués, listant **CVE-2026-39210** à **CVE-2026-39218**. Les vulnérabilités restantes sont corrigées mais pas encore publiquement numérotées. Une preuve de concept (PoC) a également été partagée publiquement. ### Chrome 149 : une version de correctifs record Dans une nouvelle tout aussi impactante, **Chrome 149** corrige 429 vulnérabilités, marquant le plus grand nombre de correctifs dans une seule version. Plus de 100 d'entre elles sont classées comme critiques ou de haute gravité, comprenant principalement des problèmes d'utilisation après libération (use-after-free) et des défauts de validation d'entrée insuffisante. La vulnérabilité la plus grave, **CVE-2026-10881** (CVSS 9.6), est un bug de lecture et écriture hors limites dans le moteur graphique **ANGLE**. Cette faille critique pourrait permettre à une page web spécialement conçue de s'échapper du bac à sable (sandbox) du navigateur et d'exécuter du code arbitraire sur le système hôte. **Google** a versé une prime substantielle de 97 000 $ pour sa découverte. Il est intéressant de noter que les bugs de plus haute gravité ont été principalement découverts en interne par les équipes de **Google**. Sur environ 90 bugs de haute gravité, seulement 10 ont été signalés par des chercheurs externes, et 19 des 22 vulnérabilités critiques étaient des découvertes internes. Pour **Chrome**, le lien avec l'IA semble davantage lié au volume des soumissions qu'à la paternité directe de ces bugs critiques spécifiques. ### Une tendance plus large : la portée croissante de l'IA Bien que **Google** n'ait pas directement attribué les 429 correctifs de **Chrome** à l'IA, la refonte du programme de primes de l'entreprise en avril a été explicitement conçue pour l'ère de l'IA, motivée par une vague de soumissions générées par l'IA. Ce nouveau programme privilégie désormais des étapes de reproduction concises des vulnérabilités plutôt que des rapports longs et générés par l'IA. Cette tendance dépasse **Chrome**. L'agent **Big Sleep** de **Google** a précédemment signalé des bugs **FFmpeg**, désormais visibles sur la page de sécurité du projet. De même, le modèle **Mythos** d'**Anthropic** a réussi à identifier une faille H.264 vieille de 16 ans et d'autres problèmes dans **FFmpeg** pour un coût estimé de 10 000 $, dont trois ont été inclus dans **FFmpeg 8.1**. Il y a quelques jours seulement, un autre outil autonome a découvert une vulnérabilité d'exécution de code à distance (RCE) authentifiée dans **Redis** qui était passée inaperçue depuis la version 7.2.0 pendant plus de deux ans. Des recherches supplémentaires renforcent cette trajectoire : une étude de février a démontré qu'un agent IA reproduisait des PoC fonctionnels pour plus de la moitié des 100 bugs N-day réels du **noyau Linux**, surpassant les méthodes de fuzzing traditionnelles. ### Action urgente requise : conseils de patching Pour les utilisateurs de **FFmpeg**, il est crucial de récupérer la version corrigée en amont (upstream) ou la mise à jour de sécurité de votre distribution dès qu'elle est disponible. Priorisez le patching de tout ce qui ingère des flux RTSP ou AV1-over-RTP non fiables. Compte tenu de l'intégration généralisée de **FFmpeg** dans les pipelines multimédias, les roues Python, les images de conteneurs et divers appareils, le patching ne doit pas s'arrêter aux paquets système ; les copies embarquées nécessitent également une attention immédiate. Les utilisateurs de **Chrome** doivent mettre à jour vers la version 149.0.7827.53 sur Linux ou 149.0.7827.53/54 sur Windows et macOS. Vérifiez que votre mécanisme de mise à jour automatique a bien appliqué les derniers correctifs. ### L'avenir de la sécurité : un défi homme-machine La réponse de la cybersécurité doit s'adapter à ce rythme accéléré : des cycles de patching plus courts, des mécanismes de mise à jour automatique omniprésents et des mises à jour de dépendances qui incluent des correctifs **CVE** doivent être considérés comme un travail de sécurité critique, et non comme une simple maintenance de routine. Le défi le plus important réside dans ce changement. Bien que la recherche de ces bugs soit devenue remarquablement peu coûteuse grâce à l'IA, les processus ultérieurs de triage des rapports, de développement et de diffusion des correctifs, et de garantie de leur installation restent complexes et coûteux. Une grande partie de ce travail essentiel incombe encore à des volontaires humains et à une mince couche de trieurs humains censés désormais suivre le rythme des machines. Cette disparité met en évidence un goulot d'étranglement croissant dans le cycle de vie de la gestion des vulnérabilités, nécessitant des solutions innovantes pour combler le fossé entre la découverte pilotée par l'IA et la remédiation dirigée par l'homme.