Un système de test de sécurité automatisé basé sur l'IA semble avoir égalé les performances des principaux experts en cybersécurité lors d'une expérience récente après avoir résolu le même nombre de « tests de pénétration » en seulement 1,1 % du temps qu'il a fallu à ses homologues humains.
Le 5 août, le fondateur et PDG de XBOW, Oege de Moor, a publié les résultats d'une expérience dans laquelle les capacités de test de pénétration de XBOW AI ont été mesurées par rapport à des testeurs de pénétration humains professionnels, ou « pentesters » en abrégé.
Un test de pénétration est une cyberattaque simulée et autorisée sur un système informatique, réalisée pour évaluer la sécurité de ce système.
XBOW a créé 104 nouveaux benchmarks — un terme désignant des scénarios de sécurité réalistes — couvrant diverses vulnérabilités, conçus pour être insolubles via des recherches sur le Web.
Au total, cinq pentesters humains professionnels issus de grandes entreprises de cybersécurité ont eu 40 heures pour les résoudre.
Le pentester principal, nommé « Principal 1 », a résolu le même nombre de tâches que le système d'IA. Cependant, XBOW a terminé les tâches en 28 minutes, contre 40 heures pour le Principal 1.
« Je viens d'apprendre que XBOW a réussi à résoudre autant de problèmes que moi. Je suis choqué. Je pensais qu'il ne parviendrait pas du tout à résoudre certains des problèmes que j'ai relevés », a déclaré Federico Muttis, principal pentester.
Un pentester est un professionnel de la cybersécurité spécialisé dans les tests de sécurité des systèmes informatiques, des réseaux et des applications Web.
Les pentesters sont généralement des hackers white hat ou « éthiques » qui utilisent les mêmes outils et techniques que les hackers malveillants, mais à des fins défensives.
L’avantage de l’IA par rapport à ses homologues humains est qu’elle peut fonctionner en continu pendant le développement du logiciel, contrairement aux tests d’intrusion humains peu fréquents.
de Moor a expliqué que cette approche « garantit que les vulnérabilités sont identifiées et traitées alors que le système est encore en cours de développement, bien avant que les mauvais acteurs n'aient une chance de les exploiter ».
En relation : Des hackers éthiques partagent des conseils sur la façon de protéger votre crypto
Plusieurs experts en sécurité affirment que les progrès réalisés dans les tests de sécurité basés sur l'IA pourraient constituer un avantage majeur pour l'industrie de la cryptographie, qui a déjà été en proie à plus de 1,4 milliard de dollars de piratages depuis le début de l'année.
Kang Li, directeur de la sécurité de CertiK, a déclaré au magazine Cointelegraph que les échanges de crypto-monnaie, les portefeuilles et les plateformes de blockchain pourraient bénéficier de tests de sécurité continus basés sur l'IA, en particulier lorsqu'il s'agit de l'audit des contrats intelligents et d'autres systèmes de sécurité cryptographique.
Magazine : Rencontrez les hackers qui peuvent vous aider à récupérer vos économies en crypto-monnaie