MacBidouille

Microsoft a publié une entrée de blog passionnante (en anglais) sur les failles de sécurité et bugs trouvées dans le bootloader open-source GNU GRUB2 et la façon dont ils ont utilisé leurs IA pour les trouver. Je recommande la lecture de cette entrée de blog, très éducative.

Pour résumer, l'IA n'a pas agit seule, Microsoft a utilisé de l'analyse de code statique (tel CodeQL), du fuzzing via AFL++, de l'analyse de code par des humains, et enfin leur outil d'IA Microsoft Security Copilot.
Il ne s'agit donc pas d'une recherche de failles ou de bugs par IA per-se, mais de l'adjonction d'outils IA dans le carquois des chercheurs en sécurité pour accélérer leurs recherches.

J'ai été stupéfait du nombre de bugs trouvées, dont de grosses failles de sécurité, dans du code qui a pourtant déjà été examiné à la loupe par de nombreux chercheurs et agences gouvernementales dont certaines nous veulent du bien.
Ça valide l'usage des technologies d'IA pour la recherche de bug et la sécurisation de nos logiciels et appareils, dans un écosystème d'autres outils, dont l'analyse humaine!

Et je suis heureux de ces trouvailles: GNU GRUB2 sera demain bien plus sûr et solide qu'il l'était hier. Cette recherche sur un produit tiers est possible car GNU GRUB2 est open-source.

Mais les malveillants ne vont-ils aussi utiliser ces technologies d'IA pour trouver des failles?
Et les failles identifiées, les logiciels patchés, seront-ils mis-à-jour par les utilisateurs rapidement, ou au contraire beaucoup de ceux-ci resteront alors avec des logiciels ayant des failles connues, exploitables et exploitées?