DARPA : L'IA du Cyber Défi va sécuriser nos infrastructures vitales

L’Agence des Projets de Recherche Avancée de Défense (DARPA) se tourne vers un avenir où l’intelligence artificielle sécurise activement la dorsale numérique des infrastructures critiques, annonçant des plans pour transférer la technologie de pointe développée lors de son Défi Cybernétique d’IA (AIxCC) vers une utilisation généralisée. Après l’apogée d’une compétition de deux ans qui a repoussé les limites de la cyberdéfense autonome, la DARPA souligne désormais l’impératif de déployer ces systèmes d’IA avancés pour protéger les services essentiels, des services publics aux systèmes de santé.

L’AIxCC, une première en son genre en collaboration avec l’Agence des Projets de Recherche Avancée pour la Santé (ARPA-H), visait à développer des systèmes de raisonnement cybernétique basés sur l’IA (CRS) capables d’identifier et de corriger automatiquement les vulnérabilités logicielles. Cette initiative répond directement à un problème omniprésent et croissant : le défi vaste, souvent « au-delà de l’échelle humaine », de sécuriser les logiciels open source qui sous-tendent la société moderne. Comme l’a articulé Stephen Winchell, directeur de la DARPA, une grande partie de l’infrastructure numérique mondiale est construite sur un « échafaudage numérique ancien » grevé d’une dette technique importante, ce qui rend les méthodes de correction traditionnelles, centrées sur l’humain, lentes et coûteuses.

Lors de la récente conférence de cybersécurité DEF CON 33 à Las Vegas, l’équipe d’Atlanta a émergé comme le vainqueur de l’AIxCC, remportant un prix de 4 millions de dollars pour son CRS révolutionnaire. L’équipe, un formidable consortium d’experts de Georgia Tech, Samsung Research, du Korea Advanced Institute of Science & Technology (KAIST) et de la Pohang University of Science and Technology (POSTECH), a démontré une prouesse exceptionnelle en matière de détection et de remédiation automatisées des vulnérabilités. Suivaient de près Trail of Bits, qui a gagné 3 millions de dollars, et Theori, qui a reçu 1,5 million de dollars.

Les résultats de la compétition soulignent un changement pivot dans les capacités de cybersécurité. Les systèmes d’IA participants ont réussi à identifier 77 % des vulnérabilités synthétiques introduites intentionnellement et, de manière critique, ont corrigé 61 % d’entre elles, souvent en seulement 45 minutes. Au-delà de ces scénarios contrôlés, les CRS ont également découvert 18 vulnérabilités réelles et jusqu’alors inconnues, parvenant à en corriger automatiquement 11 dans des bases de code Java. Cette performance signale une amélioration spectaculaire de l’efficacité et de la rentabilité par rapport aux processus manuels, les tâches de la compétition coûtant en moyenne seulement 152 $ par correction réussie.

Une pierre angulaire de la stratégie de transition de la DARPA est la mise en open source immédiate de ces puissants outils d’IA. Quatre des sept CRS des équipes finalistes ont déjà été publiés, les trois restants devant être mis à la disposition du public dans les semaines à venir. Cette initiative est conçue pour renforcer les cyber-défenseurs de divers secteurs en leur offrant un accès direct à ces solutions innovantes. Comme l’a déclaré Andrew Carney, responsable de programme de l’AIxCC : « Il n’y a aucune excuse pour ne pas tirer parti de ce type d’automatisation. Et cela ne fera que s’améliorer. C’est le nouveau seuil. »

Pour accélérer encore l’adoption de ces technologies, la DARPA et l’ARPA-H ont engagé 1,4 million de dollars supplémentaires en prix. Cette incitation vise à encourager les équipes gagnantes à intégrer leurs solutions AIxCC directement dans les logiciels d’infrastructure critique du monde réel. Le secteur de la santé, en particulier, bénéficiera immensément de cette avancée, étant donné ses vulnérabilités uniques résultant des exigences opérationnelles 24h/24 et 7j/7 et de sa dépendance à des écosystèmes informatiques complexes, souvent hérités. Jason Roos, directeur par intérim de l’ARPA-H, a souligné l’engagement de l’agence à soutenir cette transition pour une sécurité accrue des patients et des soins de santé.

Le Défi Cybernétique d’IA représente un bond en avant significatif, démontrant que l’IA peut aller au-delà de la simple identification des failles pour les corriger activement à grande échelle. Grâce à l’engagement de mettre la technologie en open source et d’inciter à son déploiement, la DARPA vise à doter les cyber-défenseurs d’un avantage sans précédent contre les menaces en constante évolution, changeant fondamentalement le paysage de la sécurité logicielle.