Une faille critique dans une bibliothèque open-source, hier, c’était des semaines d’analyse pour la trouver. Aujourd’hui, un modèle la repère en quelques minutes. Le problème : cette accélération profite d’abord à l’attaquant.
C’est ce déséquilibre que vingt géants de la tech, de la finance et de l’IA tentent de renverser. La Linux Foundation a annoncé Akrites, une initiative coordonnée pour corriger les vulnérabilités des logiciels open-source les plus utilisés avant qu’elles ne soient exploitées. Parmi les membres fondateurs : Amazon Web Services, Anthropic, Google, IBM, Microsoft, NVIDIA, OpenAI, Red Hat, la Rust Foundation, mais aussi JPMorganChase, Citi ou Vodafone.
Deux vitesses qui ne pèsent plus le même poids
Pendant des années, trouver et corriger un bug grave demandait une expertise comparable des deux côtés de la barrière. Un chercheur en sécurité et un attaquant jouaient, peu ou prou, dans la même catégorie. L’IA a fait sauter cette symétrie.
Un modèle scanne désormais un projet entier en quelques minutes là où il fallait des semaines, et expose les failles bien plus tôt. Surtout, une fois ces capacités largement diffusées, plus besoin d’être un expert pour monter un exploit sophistiqué : l’outil fait le gros du travail. La défense, elle, reste artisanale.
D’un côté, donc, une exploitation qui s’automatise et se démocratise. De l’autre, une réponse qui s’éparpille. Le décalage n’est plus une nuance technique : c’est l’écart qui décide qui arrive le premier sur la faille.
Moins de 5 % des failles corrigées
L’ampleur du problème tient dans une statistique. Varun Badhwar, dirigeant d’Endor Labs, l’a posée sans détour : sur des milliers de vulnérabilités open-source validées ces derniers mois, moins de 5 % ont été corrigées.
Comprendre ce 5 % aide à saisir l’enjeu d’Akrites. Le modèle de réponse actuel est qualifié de « rapiéçage » par la Linux Foundation. Des dizaines d’organisations scannent les mêmes paquets chacune dans leur coin, signalent les mêmes failles plusieurs fois, livrent parfois des correctifs contradictoires. Les mainteneurs, souvent bénévoles, croulent sous les doublons pendant que les vrais bugs exploitables se noient dans le bruit généré par l’IA. Ce bruit a déjà des sources identifiées : le Project Glasswing d’Anthropic a, à lui seul, fait remonter près de 23 000 vulnérabilités sur plus de 1 000 projets en un mois, quand l’agent Big Sleep de Google débusquait une faille zero-day dans SQLite avant son exploitation.
L’ironie est là : l’IA qui aide à détecter produit aussi le flot de rapports qui paralyse la correction. La détection s’industrialise, la remédiation reste un goulot.
Une équipe unique contre cent rapports isolés
Le cœur d’Akrites est une équipe de réponse aux incidents de sécurité, la SIRT (Security Incident Response Team). Elle joue le rôle de point de contact unique et fiable pour les mainteneurs, au lieu de dizaines d’acteurs signalant en parallèle la même faille. Cette équipe trie les rapports entrants, élimine les doublons, puis coordonne les correctifs.
Le tout s’appuie sur un processus normalisé de divulgation confidentielle, la Coordinated Vulnerability Disclosure. Akrites se greffe sur des standards déjà établis : les identifiants CVE, le barème de gravité CVSS, et le protocole TLP (Traffic Light Protocol) qui régit qui voit quoi. La confidentialité est centrale : chaque rapport démarre au niveau TLP:RED, le plus élevé, et seul le groupe assigné y accède. De quoi éviter qu’une faille fuite avant que son correctif soit prêt.
La logique inverse exactement le défaut du modèle actuel : là où le bruit dispersait l’effort, le filtrage le concentre.
Le mainteneur garde la main, même quand il n’y en a plus
Un point mérite l’attention de quiconque dépend de briques open-source, c’est-à-dire à peu près tout le monde dans l’IA aujourd’hui. Les correctifs finalisés reviennent dans le projet d’origine aux conditions du mainteneur : le développeur reste décisionnaire.
Et quand un paquet critique n’a plus de mainteneur actif, cas fréquent des projets portés par des volontaires, Akrites prévoit de jouer le « mainteneur de dernier recours » et de livrer le correctif lui-même, pour qu’il atteigne tous les utilisateurs à temps. L’initiative compte aussi se coordonner avec les agences gouvernementales, afin que défenseurs privés et publics avancent au même rythme.
Le financement initial vient d’Alpha-Omega, un fonds dédié de la Linux Foundation. Les organisations prêtes à apporter des ressources d’ingénierie ou des fonds sont invitées à rejoindre l’effort.
Ce que cette course rebat dans votre pile
L’enjeu dépasse le seul incident de sécurité. Vos agents, vos pipelines RAG (génération augmentée par récupération), vos modèles servis en production reposent sur des dizaines de dépendances open-source que personne, dans votre équipe, n’audite ligne à ligne. Tant que l’exploitation allait à la vitesse humaine, ce pari restait tenable. À la vitesse de l’IA, la fenêtre entre la découverte d’une faille et son exploitation se referme.
Akrites ne supprime pas ce risque, il tente de remettre la correction dans la même catégorie de vitesse que l’attaque. Le réflexe utile : ne pas attendre cette cavalerie, mais cartographier dès maintenant les briques critiques qui font tourner vos systèmes et repérer celles qui n’ont plus de mainteneur derrière. Car le « dernier recours » d’Akrites ne couvrira jamais que les paquets qu’il aura eu le temps de regarder.
Que l’IA trouve les failles plus vite n’est plus à démontrer : elle le fait déjà. Reste un seul inconnu : la correction, pour la première fois organisée à cette échelle, tiendra-t-elle la cadence ?
