Les jours des zero-day sont comptés
Depuis février, les équipes de Firefox ont intensifié leurs efforts pour développer des modèles d’intelligence artificielle destinés à détecter et corriger les failles de sécurité dans leur navigateur. Une collaboration avec Anthropic a permis d’analyser Firefox à l’aide de l’outil Opus 4.6, aboutissant à la correction de 22 bugs de sécurité dans la version 148.
Une nouvelle version, Firefox 150, qui sera lancée cette semaine, intègre les résultats d’une première évaluation de Claude Mythos Preview, corrigeant ainsi 271 vulnérabilités identifiées. Ce développement soulève des questions concernant la capacité des équipes de sécurité à suivre le rythme des menaces informatiques.
Traditionnellement, le secteur a peiné à se défendre efficacement contre les menaces. Les fournisseurs de logiciels critiques comme Firefox prennent la sécurité très au sérieux, s’efforçant chaque jour de mieux protéger leurs utilisateurs. Cependant, l’élimination complète des exploits reste une tâche difficile, ce qui a conduit à une stratégie visant à rendre ces failles coûteuses pour les attaquants.
Historiquement, l’avantage a toujours été du côté des attaquants, qui pouvaient exploiter les failles existantes. Firefox utilise une approche de défense en profondeur, mais aucune méthode n’est infaillible. Le navigateur isole chaque site dans un bac à sable, mais les attaquants cherchent à combiner des bugs pour accéder à des contextes plus privilégiés.
L’intégration de techniques d’analyse avancées, telles que le fuzzing, a été essentielle, mais certaines parties du code échappent à cette méthode. Des experts en sécurité sont capables de détecter des failles que le fuzzing ne peut pas identifier, mais cette tâche nécessite du temps et des compétences rares. Aujourd’hui, des outils comme Mythos Preview peuvent détecter toutes les vulnérabilités qu’un expert humain pourrait trouver.
Malgré les inquiétudes concernant l’émergence de nouvelles formes de vulnérabilités par l’IA, les experts estiment que des logiciels comme Firefox, conçus pour être modulaires et compréhensibles, ne dépasseront pas la capacité humaine de vérification.
Les failles de sécurité ne sont pas infinies, et nous entrons dans une ère où il devient possible de les identifier plus efficacement.
Source : Blog Mozilla.
