Un constat lucide après une victoire éclatante
Valentina Palmiotti, hacker éthique mondialement connue sous le pseudonyme de Chompie, a été la figure la plus remarquée de l'édition berlinoise du concours Pwn2Own. Elle y a remporté plusieurs prix, dont 20 000 dollars pour avoir déjoué un système lié à Nvidia, puis 50 000 dollars supplémentaires pour une intrusion réussie dans un environnement Linux. Mais au lieu de savourer son succès, elle a émis un avertissement : les outils d'intelligence artificielle pourraient mettre un terme à sa carrière de compétitrice.
L'essor de modèles comme Claude Mythos
La raison de cette inquiétude porte un nom : Claude Mythos, un modèle développé par la société Anthropic. Selon son créateur, ce système aurait déjà identifié plus de 1 600 vulnérabilités dans des centaines de logiciels. Cette capacité de détection massive est jugée si potentiellement dangereuse qu'Anthropic a décidé de n'en autoriser l'accès qu'à un nombre restreint de gouvernements et d'institutions de cybersécurité. D'autres modèles, comme GPT 5.5 Cyber, suivent la même trajectoire.
Le témoignage de Chompie : un "âge d'or" révolu
Pour l'instant, Chompie utilise encore l'IA comme un allié. Avec des outils comme Claude Code, elle parvient à accélérer son travail, que ce soit lors des compétitions ou dans son poste de chercheuse en sécurité chez IBM X-Force. "Nous sommes dans une zone idéale", confie-t-elle, expliquant que l'IA l'aide à décrocher des "bug bounties", ces récompenses versées aux hackers qui découvrent des failles avant les cybercriminels.
Pourtant, le basculement lui semble inéluctable. "J'ai participé à Pwn2Own cette année parce que je pensais que ce serait peut-être ma dernière chance", a-t-elle déclaré. Selon elle, les modèles comme Mythos vont rapidement automatiser la chasse aux vulnérabilités les plus simples. "Les fruits les plus faciles à cueillir vont disparaître", résume-t-elle. Sa conclusion est sans appel : les hackers bons ou même excellents ne seront bientôt plus nécessaires ; seuls ceux du plus haut niveau, à l'image du Taïwanais Orange Tsai (autre grand gagnant de Berlin avec 375 000 dollars), pourront encore rivaliser.
Une vision contrastée : l'espoir d'Orange Tsai
Orange Tsai, hacker taïwanais de renom qui a déjà remporté de nombreux prix, exprime un point de vue plus nuancé. Pour lui, l'IA agit comme un "assistant formidable" qui accélère ses recherches. "Pendant mes travaux, j'ai souvent plein d'idées intéressantes, mais je dois dormir, donc je ne peux pas toutes les tester une par une. L'IA me libère enfin les mains", explique-t-il. Il reconnaît que l'IA élève le niveau d'exigence, mais il espère que la créativité et l'intuition humaines permettront toujours de dénicher des failles que les machines ne voient pas.
Quel avenir pour les cybercriminels ?
Si la traque des failles devient plus ardue pour les hackers éthiques, qu'en est-il des pirates malveillants ? Des recherches suggèrent que les criminels utilisent déjà l'IA pour accélérer leurs attaques, voire pour créer de nouvelles voies d'intrusion afin de commettre des vols de données ou des attaques par rançongiciel. Cependant, la grande majorité des cyberattaques repose encore sur des méthodes simples et éprouvées (hameçonnage, ingénierie sociale), sans avoir besoin de découvrir de nouvelles failles.
La clé : une diffusion responsable
Chompie estime qu'à terme, l'IA pourrait renforcer la sécurité globale du réseau. "Je pense que la marée est en train de tourner contre les hackers offensifs. Je crois que la défense va beaucoup gagner grâce à cette capacité", affirme-t-elle. Mais cette promesse ne pourra se réaliser que si les produits d'IA sont déployés de manière responsable. Pour elle, il est impératif que les "bons" acteurs, comme les chercheurs en sécurité, aient accès en priorité aux outils les plus puissants afin de détecter et de corriger les vulnérabilités avant que les "méchants" ne les exploitent.
