Des chercheurs de Google ont affirmé vendredi avoir découvert la première vulnérabilité grâce à l’utilisation d’un modèle linguistique de grande taille.
Google affirme dans un article de blog que ce bug n’est qu’un exemple de ce qu’un outil d’IA peut effectuer pour détecter un problème de sécurité de mémoire exploitable, notamment dans un logiciel très utilisé dans le monde réel.
Détecter les failles 0 days avec les IA LLM ? Comment Google a-t-il réussi ?
La faille a été décelée dans SQLite, un moteur de base de données open source célèbre auprès des développeurs. Ces chercheurs ont commencé à signaler la vulnérabilité aux développeurs de SQLite au début du mois d’octobre. Puis, ces derniers l’ont ainsi essayé de le corriger le jour même.
Les développeurs ont réussi à détecter le problème avant même qu’elle n’apparaisse dans une version officielle. De plus, il n’a pas eu de conséquences sur les utilisateurs de SQLite. Selon Google, ce développement est un excellent exemple de « l’immense potentiel que l’IA peut avoir pour les cyberdéfenseurs ».
« Nous pensons que ce travail a un potentiel défensif énorme », ont affirmé les chercheurs de Google. « La découverte de vulnérabilités dans un logiciel avant même sa publication signifie que les attaquants n’ont aucune marge de manœuvre pour rivaliser : les vulnérabilités sont corrigées avant même que les attaquants aient eu la possibilité de les exploiter. »
Big Sleep, un projet visant à améliorer la cybersécurité
Pour rappel, cette initiative entre dans le cadre d’un projet connu sous le nom de « Big Sleep ». C’est le résultat d’une collaboration entre Google Project Zero ainsi que Google DeepMind.
Il résulte d’un projet antérieur qui a travaillé initialement sur la recherche de vulnérabilités assistée par de grands modèles de langage.
Notons que les chercheurs en cybersécurité chargés de créer des outils de recherche de vulnérabilité assistés par IA ont découvert un autre problème dans SQLite selon Google dans sa note lors de la conférence sur la sécurité DEFCON en août.
C’est ce qui a d’ailleurs incité cette équipe à distinguer s’ils pouvaient encore détecter une vulnérabilité plus grave.
Des variantes encore floues
Aujourd’hui, de nombreuses entreprises, dont Google, se servent d’un processus baptisé « fuzzing » pour détecter les vulnérabilités.
Comment fonctionne le processus ? Le concept est simple : les logiciels sont testés en leur donnant des données aléatoires ou invalides. Ce processus permet également de déclencher des erreurs et de faire planter le programme.
Néanmoins, Google a affirmé que le fuzzing ne fait pas suffisamment pour « aider les défenseurs à trouver les bugs qui sont difficiles (ou impossibles) à trouver ». Ils « espèrent que l’IA pourra réduire cet écart », ajoutent-ils.
« Nous pensons qu’il s’agit d’une voie prometteuse pour enfin renverser la situation et obtenir un avantage asymétrique pour les défenseurs », ont-ils déclaré.
« La vulnérabilité elle-même est assez intéressante, tout comme le fait que l’infrastructure de test existante pour SQLite (à la fois via OSS-Fuzz et l’infrastructure propre au projet) n’a pas détecté le problème, nous avons donc mené des recherches plus approfondies. »
Alors qu’en pensez-vous ? Est-ce que Big Sleep pourrait réellement changer le secteur de la cybersécurité ? Dites-nous votre avis dans les commentaires.
- Partager l'article :