Face au volume croissant de signalements reçus dans le cadre de son programme de prime aux bogues, Github a annoncé remplacer les primes versées en argent par des récompenses sous forme de goodies pour les signalements ayant un faible impact sur la sécurité. La société a demandé aux chercheurs de cesser d’envoyer des signalements de mauvaise qualité ou portant sur des éléments qui ne relèvent pas de sa responsabilité. En effet, au cours de l’année écoulée, la plateforme de dépôt de code en ligne a constaté une forte augmentation des signalements ne présentant pas de véritable impact sur la sécurité, en raison, en particulier, de l’apparition de nouveaux outils d’IA générative. « Toutes les soumissions valides ne représentent pas un risque de sécurité significatif. Certains rapports identifient des opportunités de renforcement de la sécurité ou des lacunes dans la documentation », a écrit Jarom Brown, chercheur senior en sécurité chez Github, dans un bilet de blog.

« De plus, bon nombre des rapports reçus par Github décrivent des scénarios hors du champ d’application dans lesquels une personne subit un résultat « indésirable » après avoir interagi avec du contenu malveillant sur Github », a-t-il ajouté. « Ces rapports sont souvent bien rédigés et techniquement précis dans leurs observations, mais ils se méprennent sur la nature de la frontière de sécurité. Lorsqu’une « attaque » exige de la victime qu’elle recherche activement et interagisse avec du contenu contrôlé par l’attaquant (cloner un dépôt malveillant, demander à un outil d’IA d’analyser du code non fiable, ouvrir un fichier spécialement conçu), la frontière de sécurité réside dans la décision de l’utilisateur de faire confiance à ce contenu. Ces scénarios ne constituent généralement pas un contournement des contrôles de sécurité de Github », a-t-il souligné.

Le bruit généré par l’IA : un problème sectoriel

L'explication de Jarom Brown sert également à rappeler aux utilisateurs de Github ce que l'entreprise attend d'eux pour se protéger. Même si l'intelligence artificielle a fait exploser le nombre de rapports de bogues, le fournisseur ne souhaite pas que les chercheurs en sécurité cessent de l'utiliser. « Nous n’avons aucun problème avec le fait que les chercheurs utilisent des outils d’IA. L’IA est un multiplicateur de force, et nous nous attendons à ce qu’elle joue un rôle croissant dans la recherche en sécurité. Nous utilisons l’IA dans nos propres programmes de sécurité internes, et nous constatons que les meilleurs chercheurs externes font de même. Nous nous en réjouissons », a déclaré M. Brown. Mais toutes les soumissions générées par l’IA doivent d’abord être examinées et validées par un humain, une règle qui s’applique à l’utilisation de tout outil destiné à faciliter la recherche de bogues. De cette manière, Github espère éliminer les rapports sans preuve de concept, les scénarios d’attaque théoriques qui ne résistent pas à un examen minutieux, ainsi que d’autres cas figurant sur sa liste publiée des éléments non éligibles à une récompense.

Il ne s'agit pas du seul programme de prime aux bogues à être submergé par le volume de signalements, même si tous ne sont pas aussi ouverts à l’IA. Les analystes ont averti que les éditeurs de solutions de sécurité, les responsables de projets open source et les plateformes de prime aux bogues de l’ensemble du secteur se plaignent de plus en plus d’un afflux de rapports de vulnérabilité de mauvaise qualité, générés par l’IA, qui accaparent le temps des analystes, ralentissent la réponse aux incidents et compliquent l’identification des menaces réelles au milieu d’un volume croissant de « bruit » automatisé. En raison des soumissions de mauvaise qualité générées par l'IA, le projet open source Curl a supprimé son programme de prime aux bogues, et HackerOne a suspendu les paiements de son programme Internet Bug Bounty car il ne parvenait pas à suivre le rythme des soumissions issues de l'IA. Le programme de récompense pour les vulnérabilités des logiciels open source de Google limite également les paiements. Et le créateur de Linux, Linus Torvalds, a récemment averti qu’un « afflux continu » de rapports de vulnérabilité générés par l’IA avait rendu la liste de diffusion sur la sécurité du noyau Linux « presque totalement ingérable » en raison des doublons massifs provenant de chercheurs utilisant les mêmes outils d’IA pour trouver des bogues identiques.

Un vivier de talents en sécurité moins sollicité

Cependant, Pareekh Jain, analyste principal chez Pareekh Consulting, craint qu’en remplaçant ses récompenses en espèces par des cadeaux promotionnels, Github pourrait réduire la participation des chercheurs nouveaux et indépendants, dont beaucoup comptent sur les récompenses issues de découvertes mineures pour asseoir leur crédibilité, affiner leurs compétences et financer leur travail. « Cette baisse de participation au bas de l'écosystème pourrait avoir des conséquences à long terme sur le vivier de talents en cybersécurité si moins de nouveaux venus considèrent la chasse aux bugs comme une voie viable pour apprendre, contribuer et évoluer au sein de la communauté de la sécurité », s’est aussi inquiété Akshat Tyagi, responsable adjoint de pratique chez HFS Research, même s’il reconnaît que cette évolution pourrait être positive pour les chercheurs expérimentés : « Moins de bruit dans la file d'attente signifie un triage plus rapide, des paiements plus rapides et une plus grande crédibilité du programme. »

Selon Sanchit Vir Gogia, analyste en chef chez Greyhound Research, des plateformes comme Github vont sans doute réagir à l'avalanche de l'IA en introduisant des contrôles de confiance plus explicites dans les workflows de contribution. « Certains seront visibles : autorisations, limites de débit, modèles, vérification d’identité, notation de réputation. D’autres moins : systèmes de classement, pré-triage automatisé, signaux d’origine IA, notation comportementale et priorisation discrète des contributeurs reconnus pour leur fiabilité », a-t-il avancé. Quant à M. Jain il pense que Github pourrait appliquer son outil de révision de code « Stacked PRs », lancé récemment, à son programme de prime aux bogues. « Tout comme les Stacked PRs aident les développeurs à réviser le code généré par l'IA par blocs plus petits et mieux structurés, les plateformes de chasse aux bugs pourraient mettre en place un système de signalement des vulnérabilités plus structuré, avec validation automatisée, étapes d'exploitation reproductibles, déduplication et tri assisté par l'IA », a-t-il suggéré. « Les rapports de sécurité pourraient commencer à ressembler davantage à un workflow CI/CD plutôt qu'à de longs documents textuels. »