AI Can Find Bugs, But Human Knowledge Still Proves Them
Mis à jour :
L’impératif de la preuve humaine face à l’automatisation par l’IA
Si l’intelligence artificielle révolutionne la sécurité offensive en accélérant la détection et l’analyse, elle engendre une inflation de rapports de faible qualité. La génération automatique de vulnérabilités « plausibles » ne remplace pas la nécessité critique de valider leur exploitabilité réelle. La valeur d’un expert en sécurité réside désormais dans sa capacité à transformer des hypothèses générées par IA en preuves tangibles.
Points clés :
- Distinction entre hypothèse et preuve : L’IA identifie des motifs suspects (SQLi, SSRF, RCE) sans toujours confirmer leur exploitabilité dans un environnement de production.
- Surcharge opérationnelle : La prolifération de rapports non validés sature les équipes de triage, nuisant à l’efficacité globale.
- Risque de déqualification : Une dépendance excessive aux outils peut éroder les compétences techniques fondamentales (analyse manuelle, rétro-ingénierie, compréhension des systèmes).
- Qualité sur volume : La performance en sécurité offensive doit se mesurer à la précision des preuves apportées plutôt qu’au nombre de vulnérabilités signalées.
Vulnérabilités mentionnées : L’article ne liste pas de CVE spécifiques, mais souligne les risques d’exagération de sévérité sur des failles courantes telles que :
- SQL Injection (SQLi)
- Server-Side Request Forgery (SSRF)
- Remote Code Execution (RCE)
- Cross-Site Scripting (XSS)
Recommandations :
- Validation rigoureuse : Tout signalement doit répondre aux questions fondamentales (vecteur d’entrée, franchissement de frontière de confiance, impact démontré).
- Check-list de validation : Avant rapport, le testeur doit confirmer l’accessibilité du point d’entrée, les conditions d’exécution et les étapes précises de reproduction.
- Utilisation stratégique de l’IA : Traiter les sorties d’IA comme des pistes de recherche (“leads”) et non comme des conclusions définitives.
- Maintien des fondamentaux : Continuer d’exercer les compétences manuelles pour ne pas perdre la capacité de raisonnement critique face aux erreurs potentielles de l’IA.
- Standard de preuve : Imposer un haut niveau d’exigence technique pour éviter les fausses alertes (ex: ne pas classer un comportement comme critique sans preuve d’exploitabilité réelle, évitant ainsi des scores CVSS abusifs).
