Post by Granite

La cybersécurité est une « priorité géopolitique », pas un « problème technique » Excellent article de JM Manach dont voici les points principaux (lien en 1er com) L'effondrement du délai entre découverte et exploitation des failles L'analyse de 3 530 vulnérabilités exploitées depuis 2018, compilée par Sergej Epp (ex-CISO de Palo Alto Networks) sur zerodayclock.com, révèle une accélération vertigineuse des cyberattaques. Le délai médian entre la découverte d'une faille et son exploitation est passé de 771 jours en 2018 à 6 jours en 2023, 4 heures en 2024, et seulement 20 heures cette année. Parallèlement, la part des failles « zero day » (exploitées avant leur découverte) est passée de 20 % avant 2020 à plus de 72 % en 2026. Le « paradoxe du patch » L'IA est désormais capable de faire de l'ingénierie inverse sur un correctif de sécurité et de générer un exploit fonctionnel en quelques minutes, alors que les entreprises mettent en moyenne 20 jours pour déployer ce même correctif. Résultat : publier un patch accélère désormais l'attaque qu'il est censé empêcher. Cette contradiction, pressentie dès 2004 avec l'outil BinDiff de Thomas Dullien, s'est transformée en crise systémique avec l'arrivée des IA génératives. Une asymétrie structurelle attaque/défense Dès 2024, GPT-4 développait des exploits avec 87 % de réussite pour 8,80 $ l'unité. En 2025, le taux de réussite aux concours CTF est passé de 20 % (GPT-4) à plus de 90 % (o3) en huit mois. Des frameworks comme ARTEMIS (Stanford/Carnegie Mellon) surpassent désormais 9 professionnels certifiés sur 10, pour 18 $/heure contre 60 $/heure. En janvier 2026, un chercheur a généré 40 exploits fonctionnels pour une seule faille zeroday pour 150 $. En février, des essaims d'agents IA ont découvert 521 vulnérabilités dans des pilotes Windows en 30 jours, à 4 $ le bug. Mythos Preview d'Anthropic a identifié plus de 500 vulnérabilités dans des logiciels libres largement audités. Les défenseurs, eux, croulent sous le bruit : une IA analysant 1 million d'événements quotidiens produit 9 vrais positifs noyés dans 10 000 faux positifs. Un appel à l'action en 10 points Validé par Bruce Schneier, Jeff Moss, Heather Adkins et d'autres, Epp propose notamment de rendre les éditeurs légalement responsables des logiciels non sécurisés (aucune industrie ne s'est améliorée sans contrainte publique) , d'intégrer la sécurité « by design », de reconstruire des systèmes Distribués, Immuables et Éphémères (triade DIE de Sounil Yu). Il propose aussi d'imposer les langages « memory safe » comme Rust pour les infrastructures critiques (20 à 40 milliards de lignes de code non sécurisé restent en production), et de rendre gratuits les outils de défense IA. Il trouve qu'il conviendrait d'adopter l'architecture Zero Trust et traiter la cybersécurité comme une priorité géopolitique plutôt qu'un problème technique.