De plus en plus de personnes utilisent l’IA pour découvrir des vulnérabilités dans le code et collecter des récompenses. Le problème c'est que l'IA les invente

Dans le monde de la cybersécurité, trouver de réelles vulnérabilités dans les systèmes et les programmes est une tâche complexe, laborieuse et extrêmement précieuse. C'est pourquoi il existe ce qu'on appelle programmes de bug bounty — des programmes de bug bounty — par lesquels des entreprises et des institutions paient des chercheurs en cybersécurité pour qu'ils signalent les failles de sécurité avant que les criminels puissent les localiser et les exploiter. Les paiements peuvent atteindre des millions.

Cependant, ces derniers mois, une nouvelle menace inattendue est apparue : les fausses vulnérabilités induites par l’IA. Et nous vivons une vague de « découvertes » inexistantes qui inondent les plateformes de référence de prime aux bogues comme HackerOne ou Bugcrowd, dans le but des utilisateurs d'obtenir des récompenses rapides sans effectuer de véritables recherches.

Le phénomène a atteint un tel niveau que même des projets emblématiques comme cURL, l'un des outils les plus utilisés sur Internet, ont dû prendre des mesures drastiques : bloquer immédiatement ceux qui envoient des rapports générés par l'IA.

Que se passe-t-il réellement

Le cas de cURL est illustratif. Son principal responsable, Daniel Stenberg, a récemment compilé des dizaines de rapports de « vulnérabilités » prétendument critiques envoyés au programme de récompenses officiel de l'outil. Les titres semblent assez alarmants :

  • « Vulnérabilité de débordement de tampon dans la gestion de WebSocket »
  • « Exploit du cycle de dépendance du flux HTTP/3 »
  • « Utilisation de strcpy() obsolète avec des tampons de taille fixe »

Mais après un examen minime, il s’est avéré qu’aucun d’entre eux n’avait la moindre base technique. Les rapports répétaient des modèles courants de descriptions générées par l’IA : langage vague, exemples de code inventés, emplacements de fichiers incorrects et références à des fonctions inexistantes.

Selon les responsables du projet :

« Notre politique actuelle stipule que nous interdirons instantanément toute personne envoyant des 'AI slop'. »

Le terme pente de l'IA (littéralement 'AI mush') fait partie de ceux qui vont sûrement se généraliser dans quelques mois : il est déjà utilisé dans plusieurs environnements pour décrire des contenus de mauvaise qualité générés par des modèles de langage (cohérents en un coup d'oeil, mais manquant de substance technique ou de vérification factuelle).

Comment la « slop » générée par l'IA est détectée

Les responsables de la sécurité développent des stratégies pour filtrer automatiquement ces types de rapports. Comme nous l'avons dit, certains signes courants sont :

  • Répétition de phrases identiques dans plusieurs rapports.
  • Références à des fonctions, des routes ou des fichiers qui n'existent pas.
  • Exemple de code qui ne se compile pas ou manque de cohérence logique.
  • Absence totale de Preuve de concept (preuve de concept) ou exploiter vérifiable.

L’économie du bug bounty et les incitations perverses

Le programmes de bug bounty Ils offrent des incitations financières légitimes : de grandes entreprises comme Google, Meta ou Apple paient entre des centaines et des milliers de dollars pour des vulnérabilités avérées. Cela a généré un écosystème de chercheurs, dont beaucoup sont des indépendants, qui consacrent leur temps à auditer le code et à rechercher de véritables erreurs.

Mais avec l'expansion des outils génératifs, une tentation évidente est apparue : et si une IA pouvait rédiger un rapport convaincant de « chasse aux bogues » sans que l'expert présumé ne se donne la peine de faire son travail ?

Certains utilisateurs ont commencé à alimenter des référentiels de code source complets et à leur demander de « trouver des vulnérabilités », ou simplement d'inventer des exemples plausibles. En quelques minutes, ils génèrent des descriptions d’aspect professionnel et les soumettent aux plateformes de récompenses.

Résultat : un volume croissant de faux rapports, qui prennent du temps à être examinés et réduisent la confiance dans les chercheurs légitimes.

Un problème d’éthique et de confiance

Tout cela n’est que le reflet d’un phénomène qui touche l’ensemble du réseau : la surproduction de contenus artificiels sans vérification humaine. Ce qui était auparavant un domaine au profil technique, voire artisanal – la recherche de vulnérabilités – est colonisé par le même bruit qui envahit l’écriture, l’art ou les réseaux sociaux.

L’IA peut être un allié puissant en matière de cybersécurité – pour l’analyse statique, la détection d’anomalies ou les simulations d’attaques – mais seulement si elle est utilisée judicieusement et sous supervision humaine.

L’impact de ce phénomène va au-delà du temps perdu. Le prime aux bogues Ils dépendent de la confiance entre les parties :

  • L'entreprise suppose que le journaliste agit de bonne foi.
  • Le chercheur espère que son travail sera valorisé à sa juste valeur.

L’arrivée de rapports fabriqués par l’IA érode cette relation. Les équipes de sécurité deviennent plus sceptiques et les vrais enquêteurs peuvent être injustement pénalisés en raison de la méfiance générée.

De plus, il existe un dilemme éthique : l’utilisation de l’IA comme support d’analyse de code doit-elle être considérée comme valide, pour autant que le résultat soit vérifié par une personne ? La frontière entre assistance légitime et fraude automatisée est de plus en plus floue.

Eric

Eric

Je m'appelle Eric, rédacteur passionné pour le média Prodiris, spécialisé dans les actualités du monde du web. Ma curiosité insatiable et mon expertise me permettent de déchiffrer les tendances numériques pour les partager avec précision et enthousiasme auprès de nos lecteurs.

Contact

[email protected]

Newsletter

Rejoignez notre newsletter pour des astuces chaque semaine