La chasse aux vulnérabilités informatiques plongée dans une crise : IA générative, saturation et rémunérations en chute libre

Le bug bounty, autrefois un modèle vertueux de récompense pour les chercheurs en sécurité, traverse une crise inédite. Le marché, divisé entre un flot de signalements artificiels de faible qualité et une production massive de vulnérabilités réelles par des systèmes d'intelligence artificielle, n'arrive plus à rémunérer correctement les découvreurs, ni à traiter les correctifs assez vite. Un chercheur ayant obtenu sept identifiants CVE (Common Vulnerabilities and Exposures) pour 96 dollars de primes totales illustre le phénomène.

Le chercheur, qui se présente comme un arpenteur-géomètre ayant créé un système automatisé de détection, a décrit son expérience dans une publication récente. D'après son récit, entre janvier et mai 2026, son pipeline de neuf agents et huit étapes a produit 166 trouvailles, dont 74 soumissions sur six plateformes. Résultat : sept CVE attribués par la National Vulnerability Database, pour une rémunération totale de 96 dollars. Une seule de ces vulnérabilités a été récompensée, mais le paiement n'a pas été effectué car la version concernée du logiciel était en fin de vie. "Ce n'est pas une histoire sur mon incompétence, mais le reflet d'un marché qui n'arrive plus à traiter ce qu'il reçoit", écrit-il.

Les programmes historiques de bug bounty subissent une pression sans précédent. En janvier 2026, Daniel Stenberg, mainteneur de l'outil curl, a mis fin à son programme après six ans, plus de 100 000 dollars versés et 87 vulnérabilités confirmées. Il a décrit les soumissions générées par IA comme une "attaque par déni de service sur sa santé mentale", évoquant "la bouillie mentale d'IA, des humains moins compétents que jamais et une volonté apparente de percer des trous plutôt que d'aider". Le taux de soumissions valides était passé de plus d'une sur six à moins d'une sur vingt.

En mars 2026, HackerOne a suspendu l'Internet Bug Bounty, programme fondateur pour la sécurité des logiciels open source lancé en 2012, qui avait versé plus de 1,5 million de dollars. La plateforme a justifié cette décision par un renversement de l'économie des primes : le goulot d'étranglement n'est plus la découverte, mais la correction des failles. En mai 2026, HackerOne a réduit ses récompenses de manière drastique : les primes pour les failles critiques ont baissé de 75,6 %, les moyennes de 83,9 % et les basses de 88,6 %.

Bugcrowd, autre plateforme majeure, a constaté une augmentation de plus de 334 % des files d'attente de soumissions en trois semaines en mars 2026. L'entreprise a inventé le terme "sloptimism" (optimisme brouillon) pour décrire des rapports générés par IA, soumis avec une validation minimale. Des comptes "sock puppet" (fictifs) auraient même utilisé les résultats des tris sur les plateformes comme signaux d'apprentissage par renforcement, transformant les programmes en données d'entraînement gratuites.

Nextcloud a cessé tout versement en avril 2026, expliquant que son équipe technique consacrait un ordre de grandeur de temps supplémentaire au traitement des rapports, dont la grande majorité était redondante, invalide ou générée de façon aberrante.

À l'opposé du spectre, les capacités de détection automatique de failles réelles explosent. Anthropic a annoncé en avril 2026 le projet Glasswing, déployant un modèle restreint nommé Claude Mythos via une coalition d'une cinquantaine de partenaires de sécurité, dont AWS, Apple, Google, Microsoft et CrowdStrike. En mai, Glasswing avait déjà découvert plus de dix mille "zero-day" de sévérité haute ou critique sur tous les systèmes d'exploitation et navigateurs majeurs, dont une vulnérabilité distante avec exécution de code sur FreeBSD vieille de 17 ans, et plus de vingt CVE sur Firefox. Sur les 530 bogues de sévérité haute ou critique signalés aux mainteneurs, seuls 75 avaient été corrigés. Plusieurs mainteneurs ont demandé à Anthropic de ralentir le rythme des divulgations pour avoir le temps de concevoir des correctifs.

Les développeurs réagissent avec frustration. Un journaliste scientifique cité dans la publication originale résume le sentiment : "La solution d'Anthropic au problème qu'elle a créé est 'les gars, travaillez plus, je suppose'."

Le marché des bug bounty dans son ensemble continue de croître en valeur globale, mais de manière très inégale. En 2025, HackerOne a versé 81 millions de dollars, soit une hausse de 13 %. Le programme de Google (VRP) a atteint un record de 17,1 millions de dollars, en hausse de 40 % par rapport à 2024. Mais ces chiffres masquent une réalité fracturée : d'un côté, des programmes très ciblés et bien dotés ; de l'autre, des chercheurs individuels noyés dans un système qui n'arrive plus à récompenser les vraies trouvailles.

Le chercheur à l'origine des sept CVE souligne que son système, bien qu'efficace pour trouver des failles, s'est heurté à une saturation des plateformes. Sur ses 74 soumissions, 18 étaient des doublons, 19 des faux positifs, et sept étaient encore en cours de tri après 30 à 80 jours. Seule une a donné lieu à une récompense – qui n'a finalement pas été versée. Il conclut : "L'espace où les chercheurs individuels trouvent de vraies failles et sont payés pour cela se comprime jusqu'à disparaître."