Depuis le mois de février, les équipes de Firefox travaillent sans relâche sur des modèles d’IA innovants pour détecter et corriger des failles de sécurité latentes au sein du navigateur. Nous en avions parlé : notre collaboration avec Anthropic pour analyser Firefox avec Opus 4.6 avait permis de corriger 22 bugs relatifs à la sécurité dans Firefox 148.
Toujours dans le cadre de notre collaboration avec Anthropic, nous avons pu tester une version préliminaire de Claude Mythos Preview sur Firefox. Firefox 150, qui sera disponible cette semaine, corrige 271 vulnérabilités détectées lors de cette première évaluation.
Alors que ces capacités d’analyse et de détection avancées se répandent parmi les équipes de sécurité informatique, nombreuses sont celles qui font l’expérience de la même sensation de vertige en découvrant les premiers résultats. Sur une cible aussi robuste que Firefox, une seule faille de ce type aurait suffi à déclencher une alerte rouge en 2025. C’est pourquoi en trouver autant en une seule fois peut laisser sans voix, et soulever une question : est-il encore possible de suivre le rythme actuel ?
Notre expérience est un message d’espoir pour celles et ceux qui font le choix de dépasser cette sensation de vertige et de passer à l’action. Certes, cela impliquera peut-être de mettre tout le reste de côté pour se concentrer pleinement sur ce sujet. Mais la lumière est bien là, au bout du tunnel. Nous sommes incroyablement fiers de la façon dont notre équipe a relevé ce défi, et nous sommes sûrs que d’autres en seront capables aussi. Bien sûr, il reste encore beaucoup à accomplir, mais nous avons passé un cap. Et l’avenir que nous entrevoyons à présent nous promet bien mieux que d’avoir toujours un temps de retard sur celles et ceux qui nous attaquent. Car les équipes de sécurité informatique ont enfin les moyens de l’emporter. Définitivement.
Jusqu’à présent, l’ensemble du secteur n’avait jamais pu faire mieux que tenir tête aux menaces de sécurité. Les fournisseurs de logiciels critiques exposés sur Internet, comme Firefox, prennent la sécurité extrêmement au sérieux et disposent d’équipes entières dont la première pensée chaque matin est : « Comment mieux protéger les utilisatrices et utilisateurs ?». Mais au fond, nous savions toutes et tous depuis longtemps qu’éliminer les exploits n’était pas un objectif atteignable. Nous avons donc adopté une approche visant à les rendre si coûteux que seuls les actrices et les acteurs disposant de moyens colossaux pourraient se les payer… et que leurs coûts prohibitifs les dissuaderaient de les utiliser à la légère.
C’est que, jusqu’ici, l’avantage était toujours donné à celles et ceux qui attaquaient. Certes, la surface d’attaque n’était pas infinie, mais elle était si vaste qu’il était difficile de la défendre entièrement avec les outils à disposition. Ainsi, pendant longtemps, les attaquants ont bénéficié d’un avantage. Il leur suffisait de trouver une faille dans la cuirasse et de s’y engouffrer.
Firefox bénéficie d’une défense en profondeur : une technique qui consiste à superposer plusieurs couches de protection. Mais malgré tout, aucune n’est à toute épreuve. Notre navigateur isole chaque site dans un bac à sable, ou « sandbox », mais les attaquants tentent de combiner des bugs dans le code de rendu et des failles dans les bacs à sable pour s’en extraire et accéder à un contexte plus privilégié. Nous avons fait partie des premiers à adopter Rust. Mais réécrire des décennies de code C++ n’était pas pour autant envisageable, surtout que Rust ne couvre que certaines catégories de vulnérabilités très courantes.
À la défense en profondeur s’ajoute une équipe rouge interne, dont la mission est de rester à la pointe des techniques d’analyse automatisées. Jusqu’à récemment, il s’agissait principalement de techniques d’analyse dynamique, à commencer par le fuzzing. Le fuzzing est une technique qui peut s’avérer redoutablement efficace, mais certaines parties du code s’y prêtent moins bien que d’autres. Résultat, les zones de couverture sont parfois inégales.
Les chercheuses d’élite en matière de sécurité sont capables de trouver des failles que le fuzzing ne parvient pas à détecter, notamment en raisonnant à travers le code source. C’est efficace, mais relativement long. Et cette approche reste limitée par la rareté des profils disposant de ce niveau d’expertise. Il y a quelques mois encore, les ordinateurs étaient incapables de mener à bien cette tâche. Aujourd’hui, ils y excellent déjà. Nous avons appris à décortiquer le travail des plus grandes expertes et des plus grands experts en sécurité du monde entier… et Mythos Preview n’a rien à leur envier. À ce jour, l’outil d’Anthropic permet de détecter tout ce qu’un humain peut trouver, sans exception. Nous n’avons trouvé aucune catégorie de faille ni aucun niveau de complexité dans une vulnérabilité qui pourrait lui échapper.
Comme nous l’avons vu, ce constat peut donner le vertige. Mais c’est en réalité une excellente nouvelle pour les équipes de sécurité. Car tant qu’il existe un écart entre ce que les machines et les humains peuvent détecter, les attaquantes peuvent en profiter : des mois d’efforts coûteux peuvent être nécessaires pour identifier une seule faille. Mais combler cet écart érode leur avantage structurel en rendant toutes les découvertes plus rapides et plus abordables.
Autre motif d’encouragement : nous n’avons pas non plus détecté de failles qu’une chercheuse ou qu’un chercheur n’aurait pas pu déceler. Certaines personnes prédisent que les futurs modèles d’IA feront émerger des formes de vulnérabilités inédites, dépassant de loin notre compréhension actuelle. Mais nous ne sommes pas de cet avis. Un logiciel comme Firefox est conçu de manière modulaire pour que son fonctionnement reste compréhensible mais aussi vérifiable par des humains. Il est relativement complexe, certes, mais sa complexité n’est pas sans limites1.
Les failles ne sont pas infinies et nous entrons dans une ère où nous pouvons enfin toutes les trouver.
1 À mesure que l’IA s’impose dans le développement des logiciels, les bases de code pourraient finir par dépasser la compréhension humaine, faisant croître la complexité des failles au même rythme que les capacités de détection, voire même plus vite. C’est pourquoi il est essentiel que les logiciels restent intelligibles pour les humains, en particulier pour les programmes particulièrement sensibles que sont les navigateurs et les systèmes d’exploitation.
This post is also available in: English (Anglais) Deutsch (Allemand)
