Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idée que la sécurité logicielle entre dans une « ère d’indéterminisme », amplifiée par la complexité des systèmes, les weird machines et l’essor du code généré par IA.

L’auteur rappelle que les vulnérabilités se concentrent aux interfaces et que la sécurité n’est pas une propriété composable. En s’appuyant sur les travaux de Bratus et Shubina, il décrit les exploits comme des programmes exploitant des « machines plus riches » émergentes, révélées lorsque les hypothèses des concepteurs sont violées. Des chaînes d’exploitation d’une « complexité impossible » seraient déjà observées, dépassant les approches classiques comme le fuzzing.

Le texte revisite les débats sur l’« épuisement » des bugs (Rescorla, Felten) et la tension corriger vs exploiter (Schneier), en soulignant avec Aitel que le goulot d’étranglement offensif est le talent pour transformer des failles en outils fiables. L’auteur liste des cas illustratifs (ex. WebP 0‑day, « Bending Microarchitectural Weird Machines »), et pose la question d’un écart croissant entre ce que l’on croit déterministe et ce qui ne l’est pas réellement.

Point d’inflexion : l’industrialisation du code généré par IA (ex. part substantielle annoncée chez Google). Geer affirme que cela favorise l’indéterminisme : le personnel peut ne pas lire ou comprendre ce qu’il déploie, accepter l’opacité (ex. obfuscation) et s’habituer à une autonomie dont le raisonnement deviendrait « fondamentalement inaccessible ». Le paradigme « trust‑but‑verify » se délite à mesure que la complexité croît.

Comme contrepoint, l’article évoque l’auditing et la provenance des données d’exécution (Inam et al.) pour l’analyse causale de comportements sophistiqués, et suggère que l’IA pourrait aussi « geler » API et langages (Guthery), avec divers effets en aval. Il interroge enfin les critères de gouvernance (ex. capacité humaine à stopper/rollback un déploiement) face aux risques « queue de distribution ». Le texte conclut en laissant ouverte la question : « Indeterminism, what’s your bet? » — une tribune de réflexion sur l’évolution de la sécurité logicielle. 🧠

TTPs évoqués (conceptuels) :

  • Chaînes d’exploitation via weird machines et comportements émergents.
  • Abus des interfaces et détails d’implémentation.
  • Exploits micro‑architecturaux.
  • Auditing par provenance des événements pour l’analyse causale.

🔗 Source originale : https://www.computer.org/csdl/magazine/sp/2025/05/11204774/2aPD9aCBSyQ