Mozilla a corrigé 271 failles de sécurité dans la dernière version de Firefox grâce à l’IA Mythos d’Anthropic, marquant le début d’une ère où l’automatisation par l’IA impose une révision massive et urgente du code source des logiciels.
Mozilla a annoncé mardi que la version 150 de son navigateur Firefox intègre des correctifs pour 271 vulnérabilités détectées grâce à un accès anticipé à Mythos Preview, un modèle d’intelligence artificielle développé par Anthropic. Cette opération illustre une évolution en cours dans le domaine de la cybersécurité, où les outils d’IA commencent à modifier en profondeur la manière dont les failles logicielles sont identifiées, et potentiellement exploitées.
Un outil qui change les méthodes de recherche de vulnérabilités
Pendant longtemps, Firefox comme d’autres organisations s’est appuyé sur une combinaison de techniques automatisées, notamment le fuzzing logiciel, et de recherches manuelles menées par des chercheurs internes et externes pour détecter des failles. Ces méthodes avaient leurs limites : certaines catégories de bugs n’étaient accessibles qu’à travers une analyse humaine approfondie, ce qui en faisait des cibles coûteuses à exploiter pour d’éventuels attaquants.
Bobby Holley, directeur technique de Firefox, estime que cette équation a changé.
« Il existait des catégories de bugs que l’on pouvait trouver par analyse humaine, mais pas par analyse automatisée. Un acteur malveillant prêt à dépenser plusieurs millions de dollars pouvait potentiellement trouver une faille, nous cherchions à rendre ce prix le plus élevé possible », explique-t-il.
Selon lui, les nouveaux outils d’IA disposent désormais de capacités permettant de couvrir, en théorie, l’ensemble des types de bugs susceptibles d’engendrer des vulnérabilités.
Une période de transition pour l’ensemble du secteur
Anthropic et OpenAI ont toutes deux annoncé ces dernières semaines de nouveaux modèles dotés de capacités avancées en matière de cybersécurité. Conscientes des risques que ces outils représentent s’ils tombaient entre de mauvaises mains, les deux entreprises ont jusqu’ici limité leur diffusion à des cercles restreints et constitué des groupes de travail réunissant des acteurs de l’industrie pour évaluer les implications de ces avancées.
Bobby Holley décrit la situation actuelle comme une période de transition inévitable pour tous les éditeurs de logiciels.
« Chaque logiciel va devoir passer par cette étape, parce que chaque logiciel contient des bugs enfouis qui sont désormais détectables », affirme-t-il.
Il précise que Firefox a bénéficié d’un accès à Mythos Preview dans le cadre d’une collaboration directe avec Anthropic, en dehors du consortium plus large lancé par la société, appelé Project Glasswing.
Holley se veut relativement rassurant sur le long terme : une fois cette phase accomplie, les modèles plus avancés qui suivront ne devraient plus trouver que des failles résiduelles. « C’est un moment difficile qui demande une attention soutenue et beaucoup de rigueur, mais je pense que c’est un moment limité dans le temps », dit-il.
L’open source, un maillon particulièrement exposé
La question se pose avec une acuité particulière pour les logiciels open source. Firefox lui-même est un projet à code ouvert, et de nombreux autres logiciels de ce type sont utilisés à grande échelle tout en étant maintenus par une poignée de bénévoles, voire par une seule personne. Le cas des “abandonniciels” des logiciels qui ne sont plus du tout maintenus est encore plus préoccupant.
Raffi Krikorian, directeur technique de Mozilla, a mis en garde dans une tribune publiée dans le New York Times contre une reproduction des inégalités déjà bien connues dans le monde du logiciel.
« Les dynamiques économiques sous-jacentes n’ont pas changé, écrit-il. Les infrastructures logicielles les plus importantes continuent d’être maintenues par des gens qui travaillent gratuitement, tandis que les entreprises qui bâtissent leur fortune sur ces briques n’ont jamais eu à en financer l’entretien. »
Bobby Holley reconnaît que la technologie seule ne peut pas résoudre ce problème. Il indique que l’équipe Firefox travaille, de manière formelle et informelle, avec des mainteneurs de projets open source pour partager connaissances et outils. Il rapporte par ailleurs que des responsables techniques de grandes entreprises envisagent de mobiliser des milliers d’ingénieurs pendant plusieurs mois pour faire face à cette transition, ce qui laisse entrevoir la difficulté de la tâche pour des structures plus petites ou bénévoles.
« C’est un problème humain au fond, conclut Holley. Il y a une limite à ce qu’on peut faire avec la technologie, il faut que l’industrie dans son ensemble se mobilise. »
