L’intelligence artificielle s’impose désormais comme un nouvel outil de cybersécurité. Lors d’un test interne, le modèle Claude Opus 4.6 développé par Anthropic a analysé le navigateur Firefox pendant deux semaines et y a découvert plus de 100 failles, dont 14 jugées critiques. L’expérience illustre le potentiel des modèles d’IA pour détecter rapidement des vulnérabilités dans des logiciels complexes.

Selon Mozilla, ce nombre de failles graves dépasse ce que la communauté de sécurité identifie habituellement en deux mois. Claude aurait trouvé sa première vulnérabilité après seulement vingt minutes d’analyse. Les ingénieurs de Firefox ont ensuite confirmé la gravité de certaines découvertes et demandé à recevoir d’autres rapports.

Firefox est l’un des navigateurs les plus étudiés au monde. Son code est maintenu par la fondation Mozilla et fait l’objet d’un programme de récompense pour la découverte de failles depuis plus de trente ans. Les chercheurs et développeurs peuvent recevoir jusqu’à 6 000 dollars pour signaler une vulnérabilité importante.

Les chercheurs d’Anthropic ont toutefois filtré les résultats produits par l’IA avant de les transmettre à Mozilla. Seules les failles reproductibles ont été signalées, afin d’éviter les faux positifs. Ce problème devient de plus en plus fréquent avec l’utilisation d’outils d’intelligence artificielle, certains générant des rapports de sécurité erronés.

L’expérience montre aussi les limites actuelles de ces systèmes. Les chercheurs ont demandé à Claude de produire du code d’exploitation pour certaines failles. L’IA s’est révélée bien plus efficace pour détecter les vulnérabilités que pour les exploiter. Deux codes d’attaque fonctionnels ont été générés, mais ils auraient été bloqués par les mécanismes de sécurité intégrés à Firefox.

Malgré ces limites, plusieurs experts estiment que la vitesse d’analyse des systèmes d’IA pourrait transformer la cybersécurité. Selon Gadi Evron, dirigeant de l’entreprise Knostic spécialisée en sécurité informatique, les méthodes traditionnelles de défense peinent déjà à suivre le rythme de découverte et de correction des failles.

Cette évolution soulève donc un double enjeu. Les outils d’intelligence artificielle pourraient aider les développeurs à sécuriser leurs logiciels plus rapidement, mais ils pourraient aussi accélérer la découverte et l’exploitation de vulnérabilités par des cybercriminels.

Source : WSJ

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.