Mittelstand Radar : Signaux d'achat du Mittelstand allemand — réservez dès maintenant votre première édition du rapport.Rejoindre la liste d'attente
Une figure d'IA tissée de lignes lumineuses de réseau neuronal enchaîne des milliers de cadenas de vulnérabilités logicielles distincts en un unique chemin d'exploitation lumineux qui converge vers un passe-partout
Retour au blog
SécuritéIAVulnérabilités

L'IA a vu toutes les failles de sécurité jamais découvertes – et sait désormais les combiner en de nouvelles attaques

Sascha KieferIA & agents

Chaque CVE, chaque preuve de concept d'exploit, chaque write-up de CTF se trouve dans les données d'entraînement. Les modèles de pointe ont pour ainsi dire lu toute l'histoire écrite de la manière dont les logiciels se cassent – et le nouveau danger, c'est qu'ils peuvent enchaîner des faiblesses sans rapport en chaînes d'exploitation fonctionnelles plus vite que n'importe quelle équipe humaine. Nous examinons les preuves réelles de 2024–2026, les contre-arguments sobres et ce que cela implique pour votre défense.

Chaque chercheur en sécurité forge son intuition de la même façon : en lisant. Rapports de CVE, preuves de concept d'exploits, solutions de CTF, rapports de divulgation, le code source des choses qui ont cassé et les correctifs qui les ont réparées. Cela prend des années – et aucun humain ne peut tout lire.

Un modèle de langage de pointe a pour ainsi dire tout lu. Chaque CVE public, chaque module Metasploit, chaque article de blog « voici comment j'ai compromis cette machine », chaque papier académique sur une nouvelle classe de corruption mémoire. Toute l'histoire écrite de la manière dont les logiciels se cassent réside dans les données d'entraînement – et contrairement à un humain, le modèle n'oublie pas l'ennuyeux avis de 2011 qu'il a parcouru une fois.

Pendant des années, le récit sur l'IA et le code était : « elle sait écrire du code. » Le récit plus dérangeant de 2025/2026 en est l'autre moitié : elle sait casser du code. Et elle commence à faire ce qui distinguait autrefois les chercheurs offensifs d'élite de tous les autres – combiner des faiblesses sans rapport en une chaîne fonctionnelle – plus vite que n'importe quelle équipe humaine.

Ce n'est pas une hypothèse. Regardons ce qui s'est réellement passé.

Elle trouve aujourd'hui de vraies vulnérabilités jusque-là inconnues

Pas « repère un bug dans un exercice scolaire ». De vrais zero-days, dans des logiciels dont vous dépendez.

  • Big Sleep / SQLite (fin 2024). Le Big Sleep de Google – un agent LLM de DeepMind et Project Zero – a trouvé un stack buffer underflow exploitable dans SQLite. Project Zero l'a qualifié de premier exemple public d'un agent IA découvrant un problème de sécurité mémoire exploitable et jusque-là inconnu dans un logiciel réel largement utilisé. Le fuzzing classique (y compris la propre infrastructure de test de SQLite) l'avait manqué.
  • o3 / noyau Linux (mai 2025). Le chercheur Sean Heelan a pointé le modèle de raisonnement o3 d'OpenAI vers l'implémentation SMB du noyau Linux (ksmbd), et il a trouvé un véritable zero-day distant, désormais suivi sous CVE-2025-37899 – pas de fuzzer, pas de harnais spécial, juste un modèle qui lit du code et raisonne dessus.
  • La généralisation (avril 2026). Le Threat Intelligence Group de Google le dit sans détour : les modèles de pointe généralistes peuvent exceller dans la découverte de vulnérabilités sans même être conçus pour cela, peuvent aider à générer des exploits fonctionnels, et sont déjà utilisés ainsi par de véritables acteurs malveillants qui vantent la capacité sur des forums clandestins.

Le vrai danger n'est pas de trouver une faille — c'est de les combiner

Trouver un bug unique n'a jamais été le plus difficile. Le savoir-faire qui prenait des années à bâtir était l'enchaînement : transformer une fuite d'information « peu critique » plus un dépassement « moyen » plus une mauvaise configuration en un unique chemin vers l'exécution de code à distance. Et c'est précisément cette compétence que l'IA démontre aujourd'hui.

  • Des équipes d'agents qui enchaînent à travers les classes de bugs (juin 2024). Le système académique HPTSA utilise un agent superviseur qui explore une cible et orchestre des sous-agents spécialisés, chacun concentré sur une classe de vulnérabilité. Sur de vraies vulnérabilités web zero-day postérieures à la date de coupure des connaissances du modèle et sans aucune description de la faille, il a atteint un taux de réussite de 53 % sur cinq tentatives – à un facteur 1,4 d'un agent à qui l'on avait donné la réponse, tandis que les scanners de vulnérabilités du marché obtenaient 0 %. L'enchaînement à travers de nombreux types de vulnérabilités est tout l'objet de cette architecture.
  • De la ligne de CVE à l'exploit fonctionnel (avril 2024). Dans une étude antérieure, GPT-4, à qui l'on ne donnait rien d'autre que la description publique du CVE, a construit des exploits fonctionnels pour 87 % des vulnérabilités one-day testées. Songez à ce que cela automatise : la fenêtre entre la divulgation d'une vulnérabilité et votre correctif – là où se produisent la plupart des vraies intrusions – passe de « des semaines, et seulement si quelqu'un s'en donne la peine » à « aussi vite qu'un agent peut lire l'avis ».
  • Le modèle de gravité s'effondre (avril 2026). La phrase la plus importante du rapport de menace 2026 de Google : les agents IA peuvent enchaîner plusieurs vulnérabilités de bas niveau, effaçant la distinction pratique entre « exécution de code à distance » et bugs « apparemment bénins, exploitables uniquement en local ». Traduction : chaque problème de gravité moyenne et faible que vous avez dépriorisé est désormais un barreau d'une échelle qu'un agent peut gravir.

C'est là le basculement. Le résultat de 2024 selon lequel GPT-4 pouvait pirater 73 % des sites de test de façon autonome quand on le lui demandait simplement était un coup de semonce. L'enchaînement est la véritable arme.

Elle passe à l'échelle — et abaisse le seuil d'entrée

Deux choses se produisent en même temps : la capacité d'expert devient moins chère, et elle devient accessible à des gens qui ne l'ont jamais eue.

  • Autonome, à un volume surhumain. Le système de test d'intrusion autonome et alimenté par IA de XBOW est devenu le premier non-humain à atteindre la première place du classement américain de HackerOne (juin 2025), soumettant plus de mille rapports de vulnérabilités en quelques mois – dépassant des milliers de hackers humains.
  • Le seuil chute. En août 2025, Anthropic a neutralisé un acteur qui utilisait Claude Code comme participant opérationnel actif – et non comme conseiller – dans une campagne d'extorsion contre au moins 17 organisations des secteurs de la santé, des services d'urgence et du gouvernement, laissant l'IA décider quelles données exfiltrer et comment formuler l'extorsion. Par ailleurs, un criminel aux compétences réelles limitées a construit et vendu, à l'aide de Claude, des rançongiciels pour 400 à 1 200 dollars ; Anthropic note que cette personne n'aurait pas pu implémenter le cœur du maliciel sans l'IA.

Le résumé inconfortable de cette section : le savoir qui verrouillait autrefois l'accès au travail offensif sérieux est désormais une marchandise, disponible à la demande et infatigable.

La partie sobre : une grande partie n'est encore que du bruit

Si vous arrêtez de lire ici, vous surcorrigerez vers la panique. Donc : le battage médiatique devance la réalité mesurée, et cela compte.

  • L'exploitation entièrement autonome reste modeste. Sur CVE-Bench – 40 vrais CVE de gravité critique dans un bac à sable – les agents de pointe ont réussi à exploiter jusqu'à ~13 % sans aide (mars 2025). Trajectoire impressionnante ; pas un super-vilain.
  • Les chercheurs sont honnêtes sur les limites. L'équipe de Big Sleep a explicitement qualifié son résultat de hautement expérimental et noté qu'un fuzzer spécifique à la cible aurait probablement été au moins aussi efficace.
  • Le « slop d'IA » est une charge bien réelle. Daniel Stenberg, mainteneur de curl, dénonce depuis un moment le flot de rapports de bugs générés par IA de faible qualité qui volent du temps aux mainteneurs – des faux positifs en série. (Fait révélateur, ce même mainteneur attribue aussi à l'IA le mérite d'avoir aidé à corriger des dizaines de vrais bugs. Cela tranche dans les deux sens.)
  • Certaines affirmations à la une sont contestées. Le rapport ultérieur d'Anthropic (novembre 2025) sur une campagne d'espionnage largement orchestrée par IA a suscité un scepticisme marqué dans une partie de la communauté de sécurité, qui a fait valoir qu'elle reposait sur des outils du marché et aucune technique inédite.

Donc : pas une machine imparable. Mais « surtout du bruit aujourd'hui » est une bien maigre consolation quand le signal s'accumule et que la courbe ne pointe que dans une direction.

Les défenseurs obtiennent exactement le même super-pouvoir

La bonne nouvelle : rien de tout cela n'est réservé aux attaquants. La même capacité, orientée dans l'autre sens, porte déjà ses fruits :

  • Attraper les bugs avant que les attaquants ne les utilisent. En juillet 2025, Big Sleep – combiné aux signaux de la Google Threat Intelligence – a identifié une faille SQLite critique (CVE-2025-6965) qui n'était connue que des acteurs malveillants et sur le point d'être exploitée, et l'a coupée en premier. Google la présente comme la première fois qu'un agent IA a directement déjoué une tentative d'exploitation en conditions réelles.
  • Trouver et corriger à la vitesse et au coût de la machine. Lors de la finale de l'AI Cyber Challenge de la DARPA (août 2025), des systèmes autonomes ont trouvé 54 des 63 vulnérabilités plantées et 18 vraies vulnérabilités jusque-là inconnues à travers 54 millions de lignes de code – les corrigeant pour environ 152 dollars et 45 minutes chacune.
  • Éliminer des classes entières de bugs. CodeMender de Google DeepMind a livré 72 correctifs de sécurité à des projets open source en environ six mois (certaines bases de code jusqu'à 4,5 M de lignes), et a réécrit des parties de la bibliothèque d'images libwebp avec des annotations bounds-safety qui auraient neutralisé l'exploit zero-click CVE-2023-4863 – et la plupart des futurs dépassements dans ce code.

Mais la course aux armements est asymétrique. Un attaquant n'a besoin que d'une chaîne fonctionnelle ; un défenseur doit toutes les fermer. L'IA amplifie les deux camps – et le camp qui a la plus grande surface à défendre ressent davantage l'amplification.

Ce que cela signifie concrètement pour vous

Laissez la panique de côté ; ajustez le modèle. Concrètement :

  • Traitez la vitesse de correction comme un contrôle de sécurité, pas comme de l'hygiène. Si un agent peut transformer un diff de correctif publié en un exploit fonctionnel en quelques minutes, votre fenêtre d'exposition n-day se mesure désormais en heures, pas en semaines. Le vieux pari – « les attaquants n'arriveront sans doute pas jusqu'à nous avant qu'on ait corrigé » – ne tient plus.
  • Cessez de balayer « faible » et « moyen ». L'enchaînement est désormais tout le jeu. Une fuite d'information exploitable uniquement en local plus un dépassement d'apparence anodine, c'est un incident d'exécution de code à distance qui n'attend qu'un agent pour l'assembler. Priorisez selon la chaînabilité, pas seulement le CVSS.
  • Réduisez ce que vous ne pouvez pas défendre. Moins de dépendances, moindre privilège, vraie segmentation réseau – pour qu'un unique point d'entrée n'enchaîne pas jusqu'à tout. C'est la même leçon que la lethal trifecta des agents IA : réduisez le rayon d'explosion avant de vous soucier de l'exploit.
  • Pointez d'abord les outils vers votre propre code. Un agent autonome finira par lire votre base de code – mieux vaut que ce soit la vôtre. Les revues assistées par IA, le fuzzing et l'analyse des dépendances dans la CI ne sont plus des options.
  • Préférez le secure-by-design au patch-after. Langages à sûreté mémoire, bounds-safety, validation stricte des entrées : les classes de bugs que l'IA trouve le mieux sont précisément celles qu'une architecture sécurisée par défaut élimine en bloc.

Conclusion

Pendant des décennies, une bonne partie de la sécurité reposait discrètement sur une hypothèse : que la plupart des attaquants ne trouveraient pas le bug obscur, ne se donneraient pas la peine d'enchaîner les petits, ne liraient pas les 40 000 lignes. Cette hypothèse a disparu. Ils le feront désormais – ou plutôt leur IA, infatigablement, après avoir déjà lu chaque exploit jamais publié.

La même phrase, lue à l'envers, est la raison de ne pas paniquer : la capacité qui trouve vos bugs peut aussi les corriger – et elle est à votre disposition dès aujourd'hui. L'IA n'a pas demandé si elle pouvait changer votre modèle de menace. Elle l'a déjà fait. La seule question ouverte est de savoir si vous la mettrez au travail sur votre propre code avant que quelqu'un d'autre ne la pointe vers vous.

Sources

Tous les incidents et chiffres datent de 2024–2026. Le domaine évolue vite – vérifiez la source primaire avant de vous fier à un seul chiffre.

Besoin d'aide ?

Vous craignez que votre stack soit précisément la cible qu'un attaquant assisté par IA trouve aujourd'hui sans effort – dépendances obsolètes, longue historique de CVE, bugs « peu critiques » que personne n'a priorisés ? C'est exactement là que nous intervenons. Nous évaluons votre surface d'attaque réelle, mettons les mêmes outils d'IA au travail sur votre propre code en premier, et durcissons l'architecture pour qu'un simple point d'entrée ne puisse pas être enchaîné jusqu'à la compromission. Contactez-nous simplement – nous déterminerons ensemble où vous en êtes vraiment.

Nous contacter