Les outils d’intelligence artificielle vont sans doute donner des sueurs froides aux éditeurs de logiciels pendant encore de nombreux mois. Nombreux sont ceux qui s'en remettent désormais à l’IA générative pour débusquer la moindre vulnérabilité et empocher, au passage, de confortables primes de type bug bounty.
Comment l’IA est en train de forcer les verrous de la cybersécurité
Le volume de failles découvertes est logiquement en forte hausse. Face à ce phénomène, il ne serait d'ailleurs pas étonnant de voir Apple proposer des mises à jour de sécurité de plus en plus fréquentes et volumineuses. La question du support des anciens systèmes d'exploitation risque de se poser avec une acuité nouvelle. Et du côté de l'écosystème Android, avec sa légendaire fragmentation matérielle et logicielle, cette dynamique promet également son lot de maux de tête.
Mais cette course à l'échalote dopée aux algorithmes n’a pas que du bon. En pratique, ces outils saturent les espaces de discussion dédiés à la sécurité. Une situation intenable qui a poussé Linus Torvalds à tirer la sonnette d’alarme la semaine dernière.
Les mêmes bogues reportés, sans solution…
À l'occasion de son point hebdomadaire sur l'état du noyau marquant l'arrivée de la Release Candidate 4 de Linux 7.1, le créateur du système libre a tenu à remettre les pendules à l'heure. Face à un véritable déluge de rapports générés par l'IA, la liste de diffusion dédiée à la sécurité est devenue purement et simplement ingérable.
Le problème est mécanique : différentes personnes utilisent les mêmes outils automatisés pour remonter exactement les mêmes vulnérabilités. Le résultat se traduit par une perte de temps colossale pour les mainteneurs, sans cesse contraints de trier les doublons, de rediriger les requêtes ou de rappeler que le correctif a déjà été appliqué depuis belle lurette. Pour Linus Torvalds, traiter ces signalements génériques sur des listes privées est un non-sens absolu qui ne fait qu'aggraver la redondance, puisque les apprentis chasseurs de failles agissent en vase clos. Par définition, souligne-t-il, un bug déniché par une IA n'a plus rien de secret.
Loin de rejeter en bloc ces nouvelles technologies, le père de Linux reconnaît volontiers leurs mérites, à la stricte condition qu'elles soulagent les développeurs plutôt que de leur imposer un travail fantôme. Le message adressé à la communauté est limpide : si un outil d'IA a trouvé une faille, il y a de fortes chances qu'un autre utilisateur l'ait déjà repérée.
Pour se rendre véritablement utile, il ne suffit plus de soumettre à la volée un rapport automatisé sans en comprendre les tenants et les aboutissants. Il faut mettre les mains dans le cambouis, éplucher la documentation et, surtout, accompagner sa trouvaille d'un correctif. En clair : apporter une véritable plus-value humaine au travail de la machine. Un domaine dans lequel l’IA n’est pas encore au point.
Une sortie au vitriol, fidèle à la réputation de l'ingénieur, qui vient toutefois nuancer le discours de Greg Kroah-Hartman. Cet autre pilier historique du développement du noyau estimait en effet très récemment que l'intelligence artificielle s'imposait comme un outil de plus en plus précieux pour la communauté open source. Reste à savoir s'en servir à bon escient.
Source :
