Il y a une décennie, la divulgation de vulnérabilités et les programmes de « bug bounty » ont commencé à transformer la manière dont les institutions abordaient la recherche en sécurité, passant de l'hostilité à la reconnaissance de la nécessité d'une contribution externe et d'une correction rapide. **Apple**, par exemple, a débuté avec une récompense maximale de 200 000 $ en 2016, qui est passée à 2 millions de dollars l'année dernière. Cependant, la prolifération de l'IA agentique est sur le point de perturber ce système établi. ### Le déluge de l'IA Alors que les modèles d'IA agentique deviennent plus compétents pour identifier de manière autonome les vulnérabilités logicielles et développer des exploits, les programmes de divulgation de vulnérabilités connaissent un afflux de soumissions. Cette augmentation coïncide avec la découverte interne de plus de bugs par les organisations, modifiant l'économie des bug bounties pour les institutions comme pour les chercheurs. « J'ai probablement soumis trois fois plus de bugs que l'année dernière à la même époque — je soupçonne qu'une entreprise comme **Google** dépensera deux à dix fois plus en paiements de bugs que l'année dernière », déclare **Joseph Thacker**, chercheur indépendant en sécurité qui utilise l'IA dans sa chasse aux bugs. Thacker note que si les géants de la technologie peuvent gérer la pression accrue, la plupart des entreprises ne le peuvent pas. Il anticipe une diminution future des soumissions à mesure que l'IA trouvera les « fruits faciles à cueillir », incitant potentiellement les entreprises à augmenter à nouveau les paiements. ### La date limite de divulgation de 90 jours sous pression L'efficacité de l'IA dans la découverte d'exploits et le scan automatisé des systèmes pourrait pousser les développeurs à accélérer la publication des correctifs, impactant potentiellement des normes établies comme les délais de divulgation de 90 jours. Comme l'a écrit le chercheur en sécurité **Himanshu Anand**, « La fenêtre de divulgation responsable de 90 jours a été conçue pour un monde où les découvreurs de bugs étaient rares et le développement d'exploits lent. Ce monde a disparu. Les LLM ont compressé les deux délais. » Cette urgence pourrait entraîner des améliorations dans la rapidité avec laquelle les organisations déploient les correctifs de vulnérabilité, abordant ainsi le défi complexe de la prolifération des correctifs et de ses conséquences imprévues potentielles. ### Les attaques facilitées par l'IA en hausse L'urgence des attaques réelles facilitées par l'IA s'accroît, les acteurs sophistiqués comme moins expérimentés tirant parti de l'IA pour étendre leurs capacités et réduire leurs coûts. Des chercheurs de **Google** ont récemment observé des acteurs de la cybercriminalité tenter d'exploiter une vulnérabilité **zero-day** développée à l'aide de l'IA pour contourner l'authentification à deux facteurs sur une plateforme d'administration système open-source. « Nous avions tous supposé que cela se produisait déjà, et c'est notre première preuve que cela se produit », déclare **John Hultquist**, analyste en chef du groupe Google Threat Intelligence, concernant les attaquants utilisant l'IA pour découvrir et exploiter des vulnérabilités nouvelles. Hultquist souligne l'impact significatif de l'accès accru des criminels aux exploits zero-day, compte tenu du taux de succès déjà élevé de ceux qui les utilisent actuellement. ### Les programmes de Bug Bounty s'adaptent Pour les chercheurs qui gagnent leur vie grâce à la chasse aux bugs, le paysage évolue. L'outil en ligne de commande **Curl** a mis fin à son programme de bug bounty (géré via le service tiers **HackerOne**) en janvier en raison d'un déluge de soumissions de faible qualité générées par l'IA. « Nous avons conclu à la dure manière qu'un bug bounty donne aux gens des incitations trop fortes à trouver et à inventer de « problèmes » de mauvaise foi qui causent une surcharge et des abus », a écrit le groupe. **Linus Torvalds** a noté que la liste de diffusion de sécurité **Linux** est devenue « presque entièrement ingérable » en raison du volume élevé et des rapports de bugs IA en double. Cependant, **Daniel Stenberg**, fondateur de Curl, a noté une amélioration de la qualité des soumissions, avec un nombre croissant de rapports de haute qualité aidés par l'IA. En avril, Google a annoncé une refonte de ses programmes de récompenses pour les vulnérabilités (VRP) pour Chrome et Android, ajustant les paiements pour se concentrer sur les vulnérabilités les plus difficiles et les plus impactantes. « Alors que le paysage de la recherche en sécurité évolue avec l'IA, nous apportons des changements à nos programmes pour nous assurer que nous récompensons les vulnérabilités les plus difficiles et les plus impactantes de nos produits », a écrit l'entreprise. Jonathan Dunn, cardiologue et chasseur de bugs, estime que les chasseurs de bugs hautement qualifiés continueront de trouver des vulnérabilités et d'être récompensés pour celles-ci. Il a également souligné la nécessité d'inciter les chercheurs éthiques à se concentrer sur les infrastructures publiques et les systèmes critiques qui pourraient ne pas recevoir une attention adéquate autrement.