Novembre dernier, Vlad Ionescu et Ariel Herbert-Voss, cofondateurs de la startup RunSybil, ont vécu un moment troublant. Leur outil d’intelligence artificielle baptisé Sybil venait de détecter une faille de sécurité chez l’un de leurs clients. Rien d’inhabituel, direz-vous ? Détrompez-vous. Cette vulnérabilité n’avait encore jamais été documentée publiquement. L’IA avait découvert seule un problème technique d’une complexité remarquable, impliquant plusieurs systèmes interconnectés.
Ce qui aurait dû réjouir ces experts en cybersécurité les a d’abord déstabilisés. Comment une machine pouvait-elle identifier une faille zero-day que personne n’avait encore révélée au monde ? La réponse est aussi fascinante qu’inquiétante : nous sommes peut-être arrivés à un point de bascule où l’intelligence artificielle devient capable de rivaliser avec les meilleurs hackers de la planète. Et cette capacité pourrait bien transformer radicalement le paysage de la sécurité informatique dans les mois à venir 🔥.
Les modèles d’IA progressent à une vitesse fulgurante. Leur aptitude à analyser des systèmes complexes, à raisonner sur plusieurs niveaux et à détecter des anomalies subtiles atteint désormais des sommets vertigineux. Mais cette intelligence peut servir deux maîtres : celui qui protège… et celui qui attaque.
Une Découverte qui Change la Donne
L’histoire de RunSybil illustre parfaitement cette évolution. Leur outil Sybil combine plusieurs modèles d’IA avec des techniques propriétaires pour scanner les systèmes informatiques à la recherche de faiblesses exploitables. Il traque les serveurs non patchés, les bases de données mal configurées, les portes dérobées involontaires.
Mais la vulnérabilité découverte en novembre dépassait l’ordinaire. Elle concernait un déploiement de federated GraphQL, un langage utilisé pour spécifier comment accéder aux données via des API. Le problème ? Le client exposait sans le savoir des informations confidentielles à cause d’une interaction complexe entre plusieurs couches de son système.
Herbert-Voss et son équipe ont fouillé Internet de fond en comble pour vérifier si cette faille était connue. Résultat : rien. Absolument rien. « Nous avons scruté le web, et elle n’existait nulle part », confirme Herbert-Voss. Depuis, RunSybil a identifié le même problème chez d’autres clients utilisant GraphQL, toujours avant toute publication publique.
Ce qui rend cette découverte extraordinaire, c’est qu’elle nécessitait une compréhension approfondie de systèmes distincts et de leurs interactions subtiles. Un niveau de raisonnement que seuls quelques experts humains auraient pu atteindre… jusqu’à présent. « C’était une étape de raisonnement en termes de capacités des modèles, un véritable saut qualitatif », précise Herbert-Voss.
Le Point d’Inflexion est Déjà Là
Dawn Song, informaticienne renommée à l’UC Berkeley spécialisée en IA et sécurité, ne mâche pas ses mots : nous vivons un moment charnière. Les récentes avancées en intelligence artificielle ont produit des modèles bien plus doués pour détecter les failles de sécurité ✨.
Deux innovations majeures expliquent ce bond en avant. D’abord, le raisonnement simulé, qui permet aux modèles de décomposer des problèmes complexes en sous-problèmes gérables. Ensuite, l’IA agentique, capable de rechercher activement sur le web, d’installer et d’exécuter des outils logiciels de manière autonome. Ces deux capacités, combinées, ont décuplé le potentiel offensif des machines.
« Les capacités de cybersécurité des modèles de pointe ont augmenté drastiquement ces derniers mois », affirme Dawn Song. « Nous sommes à un point d’inflexion. »
Pour étayer ses propos, la chercheuse a cocréé en 2024 un benchmark baptisé CyberGym. Ce test mesure la capacité des grands modèles de langage à identifier des vulnérabilités dans de vastes projets open-source. Le référentiel comprend 1 507 vulnérabilités connues réparties sur 188 projets différents.
Les résultats parlent d’eux-mêmes. En juillet 2025, Claude Sonnet 4 d’Anthropic détectait environ 20 % des vulnérabilités du benchmark. Trois mois plus tard, en octobre, la version 4.5 atteignait déjà 30 % de taux de détection. Une progression de 50 % en l’espace d’un trimestre ! « Les agents IA sont capables de découvrir des zero-days, et à très faible coût », constate Dawn Song.
Cette tendance soulève une question vertigineuse : si les capacités continuent de croître à ce rythme, où serons-nous dans six mois ? Dans un an ? 🌍
Attaque vs Défense : La Course est Lancée
Le paradoxe de cette révolution technologique tient en quelques mots : la même intelligence qui protège peut aussi détruire. Les compétences qui permettent à une IA de détecter des vulnérabilités sont identiques à celles nécessaires pour les exploiter malicieusement.
Herbert-Voss résume bien le dilemme : « L’IA peut générer des actions sur un ordinateur et produire du code, deux choses que font précisément les hackers. Si ces capacités s’accélèrent, cela signifie que les actions offensives en sécurité s’accéléreront aussi. »
À court terme, l’équipe de RunSybil estime que les pirates informatiques pourraient prendre l’avantage. Pourquoi ? Parce que les attaquants n’ont besoin que d’une seule faille pour réussir, tandis que les défenseurs doivent protéger tous les fronts simultanément. Une asymétrie qui a toujours favorisé l’offensive.
Imaginez un instant : un cybercriminel équipé d’un modèle d’IA avancé, capable de scanner automatiquement des milliers de systèmes, d’identifier les maillons faibles, puis de concevoir des exploits sur mesure en quelques minutes. Ce scénario, autrefois réservé aux films de science-fiction, devient chaque jour plus plausible.
Mais le tableau n’est pas entièrement sombre. Dawn Song et d’autres chercheurs croient fermement que l’IA peut également renforcer considérablement la défense. « Nous devons réfléchir à comment faire en sorte que l’IA aide davantage du côté défensif, et on peut explorer différentes approches », explique-t-elle.
Les Contre-Mesures Émergentes
Face à cette menace grandissante, plusieurs stratégies prometteuses émergent. Elles visent toutes à inverser l’asymétrie en faveur des défenseurs.
Premier axe : le partage précoce des modèles. Dawn Song propose que les entreprises développant des modèles d’IA de pointe les partagent avec des chercheurs en sécurité avant leur lancement public. Ces experts pourraient alors utiliser ces modèles pour identifier des bugs et sécuriser les systèmes en amont. Une sorte de “bêta-test sécuritaire” avant la mise sur le marché.
Cette approche permettrait de transformer une course potentiellement destructrice en collaboration constructive. Au lieu d’attendre que les pirates découvrent et exploitent les capacités offensives d’un nouveau modèle, les défenseurs auraient une longueur d’avance pour combler les brèches.
Deuxième axe : repenser la conception logicielle. C’est peut-être la solution la plus radicale mais aussi la plus prometteuse à long terme. Dawn Song et son laboratoire ont démontré qu’il est possible d’utiliser l’IA pour générer du code intrinsèquement plus sûr que celui produit par la plupart des programmeurs humains.
L’idée est simple mais puissante : plutôt que de chercher indéfiniment les failles dans du code mal conçu, pourquoi ne pas créer dès le départ du code sécurisé par conception ? « À long terme, nous pensons que cette approche secure-by-design aidera vraiment les défenseurs », affirme Song.
Cette vision implique un changement de paradigme majeur dans l’industrie technologique. Au lieu de corriger sans fin des vulnérabilités, l’objectif serait d’éliminer autant que possible les conditions qui les créent. L’IA ne serait plus seulement un outil de détection, mais un architecte de sécurité intégré dès la première ligne de code.
Troisième axe : l’assistance IA pour les experts. Plutôt que de remplacer les professionnels de la cybersécurité, l’intelligence artificielle pourrait devenir leur copilote surpuissant. Elle analyserait en continu des volumes de données impossibles à traiter humainement, détecterait des patterns suspects, et alerterait les experts qui prendraient les décisions finales.
Cette collaboration homme-machine combine le meilleur des deux mondes : la vitesse et la puissance de calcul des machines, avec le jugement contextuel et l’intuition des humains.
Un Futur à Double Tranchant
L’histoire de RunSybil et les recherches de Dawn Song nous placent face à une réalité troublante : nous entrons dans une ère où les machines peuvent hacker. Pas simplement exécuter des scripts préparés par des humains, mais véritablement raisonner, explorer, découvrir des vulnérabilités inédites.
Cette évolution soulève des questions vertigineuses :
- Que se passera-t-il lorsque des États-nations ou des organisations criminelles accéderont à ces technologies ?
- Comment réguler des capacités qui évoluent plus vite que les lois ?
- Pouvons-nous vraiment garantir que les modèles défensifs resteront toujours une longueur d’avance ?
- Quelle responsabilité portent les créateurs de ces systèmes ?
Les six à douze prochains mois seront cruciaux. Si les tendances actuelles se maintiennent, nous pourrions voir des attaques d’une sophistication inédite, mais aussi l’émergence de défenses automatisées capables de les contrer en temps réel 🔐.
Une chose est certaine : l’industrie technologique ne peut plus ignorer ce point d’inflexion. La course est lancée, et l’enjeu dépasse largement les simples considérations commerciales. Il s’agit de l’intégrité même de notre infrastructure numérique, sur laquelle repose désormais l’ensemble de notre civilisation.
FAQ
Les IA peuvent-elles vraiment découvrir des failles que les humains ne connaissent pas encore ?
Oui, c’est désormais prouvé. Des outils comme Sybil ont identifié des vulnérabilités zero-day jamais documentées publiquement. Les modèles actuels comme Claude Sonnet 4.5 détectent environ 30 % des vulnérabilités du benchmark CyberGym, et ce pourcentage ne cesse d’augmenter. Leur capacité de raisonnement complexe leur permet d’analyser des interactions entre systèmes que même des experts chevronnés pourraient manquer.
Faut-il avoir peur de cette évolution technologique ?
La réponse est nuancée. L’IA représente effectivement un risque accru pour la cybersécurité à court terme, car les pirates peuvent l’utiliser pour automatiser et amplifier leurs attaques. Cependant, cette même technologie offre aussi des opportunités extraordinaires pour renforcer nos défenses. L’enjeu réside dans notre capacité collective à développer des contre-mesures efficaces, notamment en repensant la conception logicielle et en favorisant la collaboration entre chercheurs.
Comment se protéger dans ce nouveau contexte ?
Pour les organisations, plusieurs pistes existent : adopter une approche secure-by-design en utilisant l’IA pour générer du code plus sûr dès la conception, multiplier les audits de sécurité automatisés avec des outils basés sur l’IA, et rester informé des dernières avancées. Pour les individus, les bonnes pratiques habituelles restent valables : mises à jour régulières, mots de passe robustes, vigilance face au phishing. La différence ? Les attaques seront probablement plus personnalisées et sophistiquées.
Les entreprises d’IA ont-elles une responsabilité particulière ?
Absolument. Dawn Song et d’autres chercheurs plaident pour que les créateurs de modèles de pointe les partagent avec la communauté sécuritaire avant leur lancement public. Cette transparence permettrait aux défenseurs de découvrir et corriger les vulnérabilités avant que les attaquants ne les exploitent. Il s’agit d’un débat éthique et stratégique majeur qui façonnera l’avenir de la cybersécurité mondiale.
