Le domaine de la détection des vulnérabilités vient de vivre une vraie révolution technologique. Alors que les chercheurs humains mettent en moyenne une année pour trouver des failles logicielles, les sept superordinateurs participant hier à un concours virtuel organisé pendant la conférence DEF CON 24 sur la cybersécurité (4-7 août, Las Vegas), ont montré que les machines pouvaient trouver rapidement des vulnérabilités : à maintes reprises, les systèmes HPC mis à l'épreuve ont pu détecter des failles simulées dans le logiciel utilisé pour la compétition.

L'espoir, c’est que les ordinateurs puissent faire un bien meilleur travail que l’homme en détectant et corrigeant les failles en quelques mois, quelques semaines, voire même quelques jours. Le concours Cyber Grand Challenge a fait un pas dans cette direction. Pour la dernière épreuve, les ordinateurs de sept équipes ont joué au jeu de piratage « Capture the Flag » qui oppose depuis des années les hackers « humains » de la conférence. Il consiste à détecter les vulnérabilités logicielles. Exceptionnellement cette fois, les ordinateurs étaient les seuls participants. Pour la compétition, les super machines devaient travailler de manière totalement autonome, sans l'aide de leurs créateurs humains. Pour marquer des points, les ordinateurs ont joué 96 parties : chacun devait générer des flux de code, d’abord pour prouver la présence d’une vulnérabilité dans le logiciel et ensuite pour corriger les failles. Tout cela était fait en quelques minutes. Des versions modifiées de bogues comme Heartbleed, Sendmail crackaddr et le ver Morris Worm ont également été envoyées aux ordinateurs, et certaines machines les ont détectées et réparées.

L'utilisation en situation réelle reste à prouver

Les responsables de la DARPA (Defense Advanced Research Projects Agency), l’agence américaine pour les projets de recherche avancée de défense, qui a parrainé l’évènement, ont déclaré que ce concours préfigurait un avenir de la cybersécurité. « Nous avons prouvé que cette automatisation était possible », a déclaré Mike Walker, directeur de programme pour le Cyber Grand Challenge. Cependant, reste à voir si ces superordinateurs pourraient être utilisés dans des environnements réels. Par exemple, le système d'exploitation utilisé pour le jeu « Capture the Flag » est simplifié. C'est très différent de l’analyse d'un système d'exploitation actuel, à la fois beaucoup plus vaste et englobant souvent tout un écosystème de produits logiciels.

Néanmoins, selon David Brumley, concepteur de l'une des machines, « les superordinateurs sont prêts à relever le défi ». Son unité appelée « Mayhem » a été déclaré vainqueur du concours de jeudi et pourrait repartir avec le grand prix de 2 millions de dollars. « La cybersécurité s’est beaucoup appuyée sur le travail humain, et ce sera encore nécessaire, mais nous n’avons pas fait suffisamment de choses pour automatiser ces processus », a-t-il déclaré. ForAllSecure, l’entreprise qu’il a fondée en Pennsylvanie, a déjà utilisé les techniques de détection de Mayhem pour trouver des failles dans Linux. « Nous pouvons dès maintenant obtenir des résultats et faire la différence », a-t-il ajouté. Mais celui-ci espère que sa technologie pourra bénéficier de davantage de financements.

Prochaine étape : s'opposer à des joueurs humains de « Capture the Flag ».

Vendredi, le vainqueur sera officiellement désigné, et la machine gagnante passera un autre test : elle devra s’opposer à des joueurs humains au jeu « Capture the Flag ». Mais le DARPA ne pense pas que la machine gagnera. Selon Mike Walker, le contexte est comparable à l’époque où les premiers programmes d'échecs affrontaient les meilleurs joueurs humains. Mais il rappelle qu’il n'a fallu que quelques décennies avant que ces programmes commencent à battre leurs adversaires. « L'automatisation ne peut que s’améliorer », a-t-il conclu.

Cyber Grand Challenge : la journée du 4 août 2016