Il y a dix ans, les bug bounties n’étaient qu’une idée nouvelle.
À l’époque, les géants de la technologie traitaient les chercheurs comme des ennemis. Ils étaient sur la défensive, hostiles. Vous ignorer était la réponse standard. Mais les choses ont changé.
Apple a rejoint le groupe en 2016 avec un paiement maximum de 200 001 $. Ce nombre a doublé pour atteindre un million en 2013, puis deux millions l’année dernière. C’était une période de boom.
Cette époque touche à sa fin.
L’IA agentique recherche désormais les vulnérabilités de manière autonome. Il les trouve et construit également les exploits. Les vannes se sont ouvertes.
Pour les chercheurs, la situation économique est déformée. Certains en vivent entièrement. Pour les entreprises, il s’agit d’un afflux de signalements mêlé à une hausse des bugs trouvés en interne. La dynamique évolue en fonction de la façon dont les attaquants opèrent.
«J’ai soumis trois fois plus de bugs», déclare Joseph Thacker, chercheur indépendant en sécurité qui utilise l’IA dans sa chasse. Il pense que Google paie dix fois plus que l’année dernière.
Les géants de la technologie peuvent assumer ce coût.
La plupart des entreprises ne le peuvent pas.
Thacker note que les agents récoltent actuellement des fruits à portée de main et de moyenne importance. Les bogues de grande valeur sont faciles à trouver pour un LLM. Mais l’offre va diminuer.
“L’année prochaine, il y aura moins de bugs soumis.”
Moins de soumissions pourraient signifier que les paiements augmenteront à nouveau pour les trouvailles rares. Personne ne sait comment l’offre et la demande s’équilibreront à long terme. Cela dépend fortement de la rapidité avec laquelle l’IA réalise des exploits.
Cette pression impose une application de correctifs plus rapide.
La fenêtre de divulgation de 90 jours ?
Disparu.
“Cette fenêtre a été construite pour un monde… où les chercheurs de bogues étaient rares”, a écrit le chercheur en sécurité Himanshu Anand. “Ce monde a disparu. Les LLM ont compressé les deux délais.”
Les attaquants précipitent également le processus.
Ils veulent le zéro jour.
« L’utilisation du jour zéro par les criminels… est assez limitée… mais nous ne devrions pas sous-estimer l’impact d’un plus grand nombre de personnes ayant cette capacité.
Les criminels constituent les incidents les plus graves, ils sont peu coûteux à embaucher et très motivés. Si l’IA lève la barrière à l’entrée du Zero Day, les enjeux augmentent fortement.
Les chasseurs ressentent déjà la brûlure.
Curl a mis fin à son bug bounty en janvier. L’IA l’a inondé de déchets de mauvaise qualité. L’équipe l’a dénoncé directement : les rapports de mauvaise foi surchargent les systèmes et créent des abus. Ils veulent toujours des rapports valides. Mais pas les déchets.
Linus Torvalds a déclaré la semaine dernière que la liste de sécurité Linux était « presque entièrement ingérable » en raison du spam AI en double.
Puis, en avril, Daniel Stenberg, développeur principal de Curl, a posté sur LinkedIn avec une touche d’originalité.
Le spam s’est arrêté. La qualité est montée en flèche.
“Nous obtenons un nombre toujours croissant de très bons rapports, presque tous grâce à l’aide de l’IA.”
Cela met les équipes sous une lourde charge. Google a réagi en avril en remaniant son programme de récompenses de vulnérabilité, réduisant certains paiements tout en augmentant d’autres pour se concentrer uniquement sur l’impact.
Jonathan Dunn qui chasse les insectes entre les quarts de travail comme un cardiologue voit un quart de travail. Les chasseurs d’élite dotés de compétences approfondies continueront d’être payés pour des problèmes difficiles.
Mais nous devons encore encourager la recherche éthique.
Qui paie pour trouver des éléments dans l’infrastructure d’arrière-plan dont personne d’autre ne se soucie ?
Alex Zenla, CTO d’Edera, affirme que cela nécessite encore du temps humain. Cela change la dynamique de l’industrie.
Anthropic a récemment lancé un bug bounty sur HackerOne pour ses modèles Claude. Cela correspond à la tendance. Certains affirment que des défenses structurelles sont désormais nécessaires.
Niels Provos le dit sans détour : on ne peut pas sortir de la crise par des solutions.
Vous devez d’abord créer une infrastructure qui rend les bugs inutiles.
Ce qui est plus facile à dire qu’à faire. L’IA n’attendra pas que nous corrigions notre code. Il est déjà là à chercher.
