Les hackbots bousculent le monde du hacking éthique. Aujourd’hui, le meilleur hackeur de la plateforme HackerOne n’est même plus humain.
Quand l’IA devient le meilleur hackeur du monde
Le hackeur le mieux classé sur la plateforme HackerOne n’est pas une personne. Il s’agit d’un bot nommé XBOW, un système automatisé capable de repérer des failles de sécurité. Ce genre de hackbot montre que les outils d’intelligence artificielle commencent à dépasser les humains… du moins sur certains aspects. Pour l’instant, ils se concentrent sur des failles simples, mais en grande quantité.
XBOW a déjà trouvé plus de 250 vulnérabilités. Mais ce n’est pas un robot autonome qui réclame des primes à lui tout seul. En réalité, XBOW est développé par une entreprise spécialisée en cybersécurité. Elle utilise des IA conçues pour repérer les failles dans les systèmes informatiques.
Grâce à ces outils, les équipes de sécurité peuvent corriger des problèmes plus vite et à plus grande échelle. D’après les chiffres de HackerOne, le nombre de failles détectées a augmenté de 12 % en un an. Plus de 78 000 vulnérabilités valides ont été enregistrées, dont beaucoup sont graves ou critiques. Mais malgré cette efficacité, l’humain reste central dans ce processus.
Les hackbots montent en puissance, mais l’humain résiste
Michiel Prins, cofondateur de HackerOne, explique que les bots sont rapides et efficaces, mais qu’ils manquent souvent de profondeur. Les humains, eux, continuent de repérer les failles les plus graves, celles qui ont un réel impact sur les entreprises.
Aujourd’hui, les hackers les plus performants combinent les deux approches. Ils utilisent l’IA pour gagner du temps, mais conservent le contrôle. Prins les appelle des hackers bioniques : ce sont des humains aidés par des outils intelligents. Cela leur permet de découvrir plus de failles et d’être plus efficaces sur la plateforme.
Les récompenses varient. Pour une faille critique, certains gagnent plusieurs milliers de dollars. En moyenne, la prime pour une faille est de 1 116 dollars, un chiffre en baisse par rapport à 2021.
Mais l’utilisation de l’IA pose aussi des problèmes
Certains bots soumettent des rapports de failles qui semblent crédibles, mais qui sont exagérés, voire complètement faux. On parle alors d’hallucinations de l’IA. Ces cas deviennent plus rares, mais la tendance à l’exagération reste forte. L’IA veut trop bien faire et enjolive souvent les résultats.
Dans un bon rapport de vulnérabilité, il ne faut rien inventer. Il doit être factuel : expliquer ce qui ne va pas, comment reproduire l’erreur et quel est l’impact réel. C’est là que l’humain reste essentiel.
Même les hackbots les plus avancés ont besoin d’un humain pour les guider et vérifier les résultats. Un bon hacker doit comprendre le fonctionnement des applications, et surtout leur logique métier. Or, cette compréhension profonde reste difficile à automatiser.
Source : CyberNews
