L'IA transforme rapidement la manière dont les logiciels sont écrits, déployés et utilisés. Les tendances indiquent un avenir où les IA pourront écrire des logiciels personnalisés rapidement et facilement : des "logiciels instantanés". À l'extrême, il pourrait être plus facile pour un utilisateur de faire écrire une application à la demande par une IA – une feuille de calcul, par exemple – et de la supprimer une fois son utilisation terminée, plutôt que d'en acheter une dans le commerce. Les futurs systèmes pourraient inclure un mélange : à la fois des logiciels traditionnels à long terme et des logiciels instantanés éphémères qui sont constamment écrits, déployés, modifiés et supprimés. L'IA change également la cybersécurité. En particulier, les systèmes d'IA s'améliorent dans la recherche et la correction des vulnérabilités dans le code. Cela a des implications pour les attaquants et les défenseurs, en fonction des améliorations apportées à ces technologies et à celles qui y sont liées. Dans cet essai, je souhaite adopter une vision optimiste des progrès de l'IA et spéculer sur ce à quoi pourrait ressembler la cybersécurité dominée par l'IA à l'ère du logiciel instantané. Il existe un certain nombre d'inconnues qui influenceront la manière dont la course aux armements entre attaquants et défenseurs pourrait se dérouler. ## Comment la découverte de failles pourrait fonctionner Du côté des attaquants, la capacité des IA à trouver et exploiter automatiquement les vulnérabilités a considérablement augmenté ces derniers mois. Nous voyons déjà des pirates informatiques gouvernementaux et criminels utiliser l'IA pour attaquer des systèmes. La partie exploitation est essentielle ici, car elle donne à un attaquant peu sophistiqué des capacités bien au-delà de sa compréhension. À mesure que les IA s'améliorent, attendez-vous à ce que davantage d'attaquants automatisent leurs attaques à l'aide de l'IA. Et à mesure que les individus et les organisations pourront de plus en plus exécuter de puissants modèles d'IA localement, les entreprises d'IA surveillant et perturbant l'utilisation malveillante de l'IA deviendront de plus en plus non pertinentes. Attendez-vous à ce que les logiciels open source, y compris les bibliothèques open source intégrées dans les logiciels propriétaires, soient les plus ciblés, car les vulnérabilités sont plus faciles à trouver dans le code source. Inconnue n°1 : dans quelle mesure les outils de découverte de vulnérabilités basés sur l'IA fonctionneront contre les progiciels commerciaux à code source fermé. Je pense qu'ils seront bientôt suffisamment performants pour trouver des vulnérabilités simplement en analysant une copie d'un produit expédié, sans accès au code source. Si cela est vrai, les logiciels commerciaux seront également vulnérables. Les logiciels IoT seront particulièrement vulnérables : des choses comme les voitures connectées, les réfrigérateurs et les caméras de sécurité. Ainsi que les logiciels IoT industriels dans notre réseau électrique connecté, nos raffineries de pétrole et nos pipelines, nos usines chimiques, etc. Les logiciels IoT ont tendance à être de bien moindre qualité, et les logiciels IoT industriels ont tendance à être obsolètes. Les logiciels instantanés sont différemment vulnérables. Ils ne sont pas destinés au marché de masse. Ils sont créés pour une personne, une organisation ou un réseau particulier. L'attaquant n'aura généralement pas accès à de code à analyser, ce qui rend moins probable leur exploitation par des attaquants externes. S'ils sont éphémères, toute vulnérabilité aura une courte durée de vie. Mais de nombreux logiciels instantanés resteront sur les réseaux pendant longtemps. Et s'ils sont téléchargés dans des bibliothèques d'outils partagées, les attaquants pourront télécharger et analyser ce code. Tout cela indique un avenir où les IA deviendront de puissants outils de cyberattaque, capables de trouver et d'exploiter automatiquement des vulnérabilités dans les systèmes du monde entier. ## Automatisation de la création de correctifs Mais ce n'est que la moitié de la course aux armements. Les défenseurs peuvent également utiliser l'IA. Ces mêmes technologies de recherche de vulnérabilités basées sur l'IA sont encore plus précieuses pour la défense. Lorsque le côté défensif trouve une vulnérabilité exploitable, il peut corriger le code et la refuser aux attaquants pour toujours. La manière dont cela fonctionne en pratique dépend d'une autre capacité connexe : la capacité des IA à corriger les logiciels vulnérables, ce qui est étroitement lié à leur capacité à écrire du code sécurisé en premier lieu. Les IA ne sont pas très performantes dans ce domaine aujourd'hui ; les logiciels instantanés que les IA créent sont généralement remplis de vulnérabilités, à la fois parce que les IA écrivent du code non sécurisé et parce que les personnes qui codent ne comprennent pas la sécurité. **OpenClaw** en est un bon exemple. Inconnue n°2 : dans quelle mesure les IA s'amélioreront-elles dans l'écriture de code sécurisé. Le fait qu'elles soient entraînées sur d'énormes corpus de code mal écrit et non sécurisé est un handicap, mais elles s'améliorent. Si elles peuvent écrire de manière fiable du code sans vulnérabilités, ce serait un avantage énorme pour le défenseur. Et la découverte de vulnérabilités basée sur l'IA facilite l'entraînement d'une IA à écrire du code sécurisé. Nous pouvons envisager un avenir où les outils d'IA qui trouvent et corrigent les vulnérabilités font partie du processus typique de développement logiciel. Nous ne pouvons pas dire que le code serait exempt de vulnérabilités – c'est un objectif impossible – mais il pourrait l'être sans vulnérabilités facilement trouvables. Si la technologie devenait vraiment performante, le code pourrait devenir essentiellement exempt de vulnérabilités. ## Retards de correction et logiciels obsolètes Pour les nouveaux logiciels – qu'ils soient commerciaux ou instantanés – cet avenir favorise le défenseur. Pour les logiciels commerciaux et open source conventionnels, ce n'est pas si simple. Le monde est actuellement rempli de logiciels obsolètes. Une grande partie d'entre eux – comme les logiciels des appareils IoT – n'a pas d'équipe de sécurité dédiée pour les mettre à jour. Parfois, ils sont impossibles à corriger. Tout comme il est plus difficile pour les IA de trouver des vulnérabilités lorsqu'elles n'ont pas accès au code source, il est plus difficile pour les IA de corriger les logiciels lorsqu'elles ne sont pas intégrées au processus de développement. Je ne suis pas aussi confiant que les systèmes d'IA pourront corriger les vulnérabilités aussi facilement qu'ils les trouvent, car la correction nécessite souvent des tests et une compréhension plus holistiques. C'est l'inconnue n°3 : à quelle vitesse les IA pourront créer des mises à jour logicielles fiables pour les vulnérabilités qu'elles trouvent, et à quelle vitesse les clients pourront mettre à jour leurs systèmes. Aujourd'hui, il y a un décalage temporel entre le moment où un fournisseur publie un correctif et le moment où les clients installent cette mise à jour. Ce décalage temporel est encore plus long pour les logiciels d'entreprise de grande taille ; le risque qu'une mise à jour casse le système logiciel sous-jacent est trop grand pour que les organisations déploient des mises à jour sans les tester au préalable. Mais si l'IA peut aider à accélérer ce processus, en écrivant des correctifs plus rapidement et de manière plus fiable, et en les testant dans un environnement jumeau généré par l'IA, l'avantage va au défenseur. Sinon, l'attaquant aura toujours une fenêtre pour attaquer les systèmes jusqu'à ce qu'une vulnérabilité soit corrigée. ## Vers l'auto-guérison Dans un avenir véritablement optimiste, nous pouvons imaginer un réseau auto-guérisseur. Des agents IA scannent en permanence le corpus en constante évolution de logiciels commerciaux et personnalisés générés par l'IA à la recherche de vulnérabilités, et les corrigent automatiquement dès leur découverte. Pour que cela fonctionne, les contrats de licence logicielle devront changer. Actuellement, les fournisseurs de logiciels contrôlent la cadence des correctifs de sécurité. Donner cette capacité aux acheteurs de logiciels a des implications sur la compatibilité, le droit à la réparation et la responsabilité. Toutes les solutions ici relèvent du domaine de la politique, pas de la technologie. Si la défense peut trouver, mais ne peut pas corriger de manière fiable, les failles dans les logiciels obsolètes, c'est là que les attaquants concentreront leurs efforts. Si tel est le cas, nous pouvons imaginer une détection d'intrusion continue alimentée par l'IA, scannant continuellement les entrées et bloquant les attaques malveillantes avant qu'elles n'atteignent les logiciels vulnérables. Pas aussi transformateur que la correction automatique des vulnérabilités dans le code en cours d'exécution, mais néanmoins précieux. La puissance de ces systèmes de défense IA augmente s'ils sont capables de se coordonner entre eux, et de partager les vulnérabilités et les mises à jour. Une découverte par une IA peut se propager rapidement à tous ceux qui utilisent le logiciel affecté. Encore une fois : avantage au défenseur. Il existe d'autres variables à considérer. Le succès relatif des attaquants et des défenseurs dépend également de la quantité de vulnérabilités, de la facilité avec laquelle elles sont trouvées, de la capacité des IA à trouver les vulnérabilités plus subtiles et obscures, et du niveau de coordination entre les différents attaquants. Tout cela constitue l'inconnue n°4. ## Économie des vulnérabilités On peut supposer que les IA nettoieront d'abord les choses évidentes, ce qui signifie que les vulnérabilités restantes seront subtiles. Leur découverte nécessitera des ressources informatiques d'IA. Dans le scénario optimiste, les défenseurs mutualisent leurs ressources par le partage d'informations, amortissant ainsi efficacement le coût de la défense. Si le partage d'informations ne fonctionne pas pour une raison quelconque, la défense devient beaucoup plus coûteuse, car les défenseurs individuels devront faire leurs propres recherches. Mais le logiciel instantané signifie une plus grande diversité de code : un avantage pour le défenseur. Cela doit être mis en balance avec le coût relatif pour les attaquants de trouver des vulnérabilités. Les attaquants disposent déjà d'un moyen inhérent d'amortir les coûts de découverte d'une nouvelle vulnérabilité et de création d'un nouvel exploit. Ils peuvent chasser les vulnérabilités sur différentes plateformes, différents fournisseurs et différents systèmes, et utiliser ce qu'ils trouvent pour attaquer plusieurs cibles simultanément. La correction d'une vulnérabilité commune nécessite souvent une coopération entre toutes les plateformes, fournisseurs et systèmes concernés. Encore une fois, le logiciel instantané est un avantage pour le défenseur. Mais ces vulnérabilités difficiles à trouver deviennent plus précieuses. Les attaquants tenteront de faire ce que font aujourd'hui les principales agences de renseignement