La cybersecurite entre dans une nouvelle ère (et c’est vertigineux) ! Des agents IA autonomes viennent de découvrir 21 failles zero-day introuvables dans FFmpeg pour seulement 1 000 $ (soit 866 €) de calcul. Au même moment, Claude Opus brise le protocole Zcash. L’IA va-t-elle détruire ou sauver le code mondial ? Allez hop, nouvelle polémique en vue.
Le petit monde de la cybersécurité vient de basculer dans une toute nouvelle dimension. En l’espace de quelques jours, deux événements majeurs ont prouvé que les systèmes d’intelligence artificielle ne se contentent plus d’assister les développeurs : ils sont désormais capables d’identifier de manière totalement autonome des failles de sécurité ultra-complexes qui ont échappé aux meilleurs experts humains, ainsi qu’aux outils d’audit classiques, pendant des décennies. Un grand basculement technologique qui redéfinit le rapport de force entre attaquants et défenseurs du code.
Le premier coup de semonce provient de la startup spécialisée depthfirst. L’entreprise a révélé que son agent IA autonome a découvert pas moins de 21 vulnérabilités zero-day inédites au cœur de FFmpeg, la bibliothèque multimédia open source de référence intégrée dans la quasi-totalité des logiciels de traitement vidéo, des navigateurs web et des plateformes de streaming de la planète. L’aspect le plus stupéfiant ? L’opération complète n’a coûté qu’environ 1 000 dollars en ressources de calcul informatique.
Le massacre de FFmpeg : 866 € pour humilier 20 ans d’audits humains
Pour mesurer l’exploit, il faut comprendre le terrain de jeu. Le code source de FFmpeg est un monstre d’un million et demi de lignes de code en langage C, optimisé à l’extrême et truffé d’algorithmes complexes pour décoder des centaines de formats vidéo. Ce dépôt de code a subi plus de vingt ans d’audits manuels et de tests de détection automatisés (fuzzing) par les plus grandes firmes de la tech. Récemment, les équipes Big Sleep de Google et les modèles d’Anthropic s’y sont cassé les dents, ne trouvant qu’une poignée de failles.
L’agent de depthfirst, lui, a méthodiquement modélisé les menaces, cartographié les flux de données et testé des hypothèses en parallèle. Neuf de ces failles ont déjà reçu un identifiant officiel CVE. Parmi elles, la faille CVE-2026-39214 (un dépassement de tampon de pile) dormait tranquillement dans le code source depuis… 2003.
Les ingénieurs ont publié les détails techniques de cette inférence cyber sur le blog de recherche de Depthfirst, démontrant notamment comment un simple paquet réseau malveillant de 183 octets envoyé via le protocole de streaming vidéo d’AV1 permettait de détourner le pointeur d’instruction du processeur (0xdeadbeef) pour exécuter du code à distance, sans aucune interaction de l’utilisateur.
Fondée fin 2024 et valorisée à 580 millions de dollars (soit 502 millions €) après une levée de fonds massive de 80 millions en mars dernier (69 millions €), depthfirst a décidé de frapper un grand coup en allouant 5 millions de dollars en crédits de plateforme pour aider bénévolement les projets open source critiques à nettoyer leur code informatique grâce à son agent autonome.
La course aux armements logiciels n’est plus une affaire d’hommes, c’est aujourd’hui une guerre d’algorithmes.
Zcash et le bug de la planche à billets infinie
Pendant que FFmpeg colmatait ses brèches, un autre séisme frappait l’univers des crypto-monnaies de confidentialité. Le 5 juin 2026, le légendaire fondateur de Zcash, Zooko Wilcox, a dû révéler en urgence l’existence d’une vulnérabilité critique de falsification dans le pool protégé Orchard de sa blockchain. Présente de manière totalement invisible depuis mai 2022, cette faille structurelle aurait permis à n’importe quel attaquant de créer des jetons ZEC contrefaits en quantité illimitée, sans que le réseau ne puisse techniquement s’en rendre compte.
La manière dont le bug a été découvert est presque ironique. Taylor Hornby, un ingénieur en sécurité fraîchement recruté, a déniché la faille le 29 mai en soumettant le protocole à Claude Opus 4.8, le tout dernier modèle d’Anthropic sorti des laboratoires la veille. En quelques heures, l’IA a compris la subtilité mathématique du bug, permettant à l’ingénieur de concevoir un exploit fonctionnel dans un environnement de test.
L’alerte a déclenché une procédure de crise : un soft fork d’urgence le 2 juin pour geler les transactions Orchard, suivi d’un hard fork salvateur le 3 juin pour réécrire définitivement les règles de consensus de la blockchain. Bien que l’équipe affirme n’avoir aucune preuve de l’exploitation passée de ce bug, l’annonce a provoqué un vent de panique, entraînant une chute brutale de 30 % du cours du jeton ZEC sur les marchés.
La guerre asymétrique du code a commencé
Ces deux affaires marquent un point de non-retour technologique. Nous ne sommes plus dans le domaine de la spéculation : l’IA détecte désormais les vulnérabilités plus vite que les humains ne sont capables de les corriger. Le principal danger réside dans l’asymétrie de cette technologie. En mai dernier, le groupe de renseignement sur les menaces de Google confirmait d’ailleurs le premier cas mondial d’acteurs malveillants utilisant des agents IA pour concevoir un véritable exploit zero-day sur le terrain.
Si l’intelligence artificielle offre aux défenseurs une puissance d’audit automatisée inédite pour fortifier les logiciels open source, elle fournit simultanément aux cybercriminels une arme de destruction massive pour automatiser la recherche de failles industrielles à bas coût. La course aux armements logiciels n’est plus une affaire d’hommes, c’est aujourd’hui une guerre d’algorithmes.
🦋 L’actualité de l’open source dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol préférées) grâce à notre bot officiel. Suivez, partagez, abonnez-vous à @goodtech.info !
