L'IA déterre 21 zero-days dans FFmpeg : la cyber bascule dans une nouvelle ère

La cybersecurite entre dans une nouvelle ère (et c'est vertigineux) !

Un agent IA autonome vient de claquer 21 failles zero-day inédites dans FFmpeg. FFmpeg, c'est la bibliothèque multimédia open source qui fait tourner la quasi-totalité de nos logiciels vidéo, navigateurs, plateformes de streaming. Un monstre d'un million et demi de lignes de code en C, audité depuis plus de vingt ans par les meilleurs experts humains et outils automatisés. Et là, une IA débarque.

Le plus dingue ? L'opération complète a coûté... environ 1 000 dollars en ressources de calcul. Une paille pour un tel carnage.

L'humiliation des audits humains ?

Pendant des décennies, des armées d'experts ont scruté le code de FFmpeg. Rien. Ou presque. L'IA, elle, a balayé des années de travail en un clin d'œil. C'est ça, le vrai danger : une capacité à identifier des vulnérabilités ultra-complexes, en mode autonome, qui échappent aux humains. C'est une révolution, ou un cauchemar, selon le côté où on se place.

On ne parle plus d'une IA qui assiste. On parle d'une IA qui agit, qui découvre, et qui met à nu des pans entiers de notre infrastructure numérique. On l'a déjà vu avec des agents autonomes capables de s'infiltrer et siphonner des bases de données en temps réel. L'IA passe à l'attaque : un agent autonome s'infiltre et siphonne des bases de données en temps réel. Là, c'est encore un cran au-dessus.

La course aux armements s'accélère

Ce n'est pas la première fois qu'une IA est au cœur de la découverte de failles. Le premier zero-day généré par IA, c'est fait, et Google l'a confirmé. Le premier zero-day généré par IA, c'est fait : Google confirme l'exploit. Mais ici, l'ampleur et l'autonomie de la découverte dans un logiciel aussi critique que FFmpeg, c'est un signal fort. Les équipes de sécurité doivent revoir leurs copies. Vite.

Le problème : les systèmes de sécurité traditionnels ne sont pas conçus pour ce type de menaces émergentes. Il faut des approches radicalement nouvelles. On l'a vu avec des vulnérabilités critiques qui mettent à nu des millions d'agents IA eux-mêmes. BadHost : La Faille Critique Qui Met à Nu des Millions d'Agents IA. La guerre cyber avec l'IA, c'est une bataille à deux fronts : la protéger, et se protéger d'elle.

Concrètement, cette découverte remet en question la viabilité à long terme de l'audit manuel pour des bases de code massives et complexes. L'IA a prouvé son efficacité redoutable. Et ce n'est que le début. Accrochez-vous.