Un bug majeur découvert dans le principal réseau de confidentialité Zcash, utilisant l’intelligence artificielle, peut être un signe avant-coureur que des failles similaires non découvertes existent dans les logiciels de cryptographie et bancaires.
Ce qui inquiète la communauté crypto, c’est que le bug, qui existait dans le réseau depuis 4 ans, n’a été découvert que récemment par Shielded Labs, un développeur à but non lucratif du système de jetons de confidentialité, en utilisant le nouveau modèle d’IA Opus 4.8 d’Anthropic. La vulnérabilité, qui, selon Zcash, « a été corrigée », si elle n’était pas détectée, aurait pu permettre à un attaquant d’imprimer un nombre illimité de jetons contrefaits.
La divulgation avait déjà semé la panique au sein de la communauté crypto et fait chuter le jeton Zcash de près de 38 % au cours des dernières 24 heures. Certains ont même déclaré sur les réseaux sociaux que « la crypto est morte. Nous aurions dû passer à l’IA ».
Maintenant, la question que tout le monde se pose est la suivante : avec l’amélioration de l’IA et le monde se préparant à la sortie du nouveau modèle Mythos d’Anthropic, qui est censé être beaucoup plus capable d’identifier et d’enchaîner les faiblesses des systèmes, la sécurité de l’industrie de la cryptographie est-elle menacée ?
Cependant, l’éminente société de capital-risque crypto Dragonfly (un des premiers investisseurs dans Zcash) et son associé directeur, Haseeb Qureshi, ont une vision légèrement différente de l’IA et de la sécurité de la crypto. Selon lui, la détection des vulnérabilités par l’IA est une bonne chose car cela ne fera qu’améliorer le code.
« Bien que l’IA ait trouvé ce bug, l’IA fournira également le correctif pour l’ensemble de la catégorie : la vérification formelle. Je suis très optimiste sur ce point car c’est la voie à suivre pour renforcer tous les logiciels de l’industrie », a-t-il déclaré dans un message X.
Alors que la société Haseeb continue de détenir Zcash et est optimiste quant au rôle de l’IA dans la sécurité cryptographique, Ben Goertzel, PDG de la société d’IA SingularityNET, a déclaré à CoinDesk que des vulnérabilités similaires ne se limitent pas à la sécurité cryptographique, mais se cachent probablement également dans le système bancaire traditionnel.
« Les autres crypto-monnaies ne sont pas vulnérables à ce bug spécifique, qui était une simple erreur logique dans la mise en œuvre de Zcash », a déclaré Goertzel, expliquant que d’autres crypto-monnaies sont « certainement très susceptibles de posséder des vulnérabilités similaires, qui sont susceptibles d’être découvertes par les outils d’IA dans les semaines et les mois à venir ».
En outre, Goertzel a déclaré que « les infrastructures logicielles des banques et autres institutions centralisées sont également très susceptibles de contenir de graves bugs qui seront découverts par les outils d’IA dans un avenir proche ».
« Vérification formelle »
Alors, quelle est la véritable solution à cette menace IA ?
Qureshi et Goertzel ont déclaré que le code cryptographique et l’infrastructure logicielle mondiale doivent passer à une « vérification formelle ».
Le processus consiste essentiellement à « écrire des preuves de théorèmes mathématiques de telle manière que ces théorèmes puissent être vérifiés automatiquement », comme l’a expliqué le co-fondateur d’Ethereum, Vitalik Buterin. Il a noté que la vérification formelle assistée par l’IA pourrait devenir l’un des outils les plus importants en matière de cybersécurité, dans la mesure où les systèmes d’IA de plus en plus avancés facilitent la découverte des vulnérabilités logicielles.
Et Qureshi a fait écho à ce sentiment.
« Une cryptographie formellement vérifiée ne peut pas avoir de bugs d’implémentation par construction », a-t-il déclaré. « À l’heure actuelle, l’IA fait apparaître des vulnérabilités dans tous nos logiciels – les navigateurs, les systèmes d’exploitation et les blockchains ne font pas exception », a-t-il ajouté, notant que les logiciels formellement vérifiés seraient la « seule voie à suivre pour les logiciels critiques », sur lesquels Zcash a mis l’accent sur sa feuille de route.
Goertzel, quant à lui, a expliqué pourquoi les développeurs n’utilisent pas déjà ce processus de vérification formelle pour rendre leurs logiciels à toute épreuve.
Il a fait valoir que même si le langage de programmation « Rust » utilisé par Zcash peut être formellement vérifié, les développeurs le font rarement car cela nécessite un travail supplémentaire. De plus, Goertzel a noté que les bibliothèques principales de Rust utilisent souvent des constructions « dangereuses » difficiles à vérifier.
Cependant, les réécrire pour plus de sécurité rendrait le logiciel plus lent : un problème, a-t-il déclaré, qui pourrait être résolu en utilisant des techniques avancées telles que la « supercompilation » pour améliorer les performances.
Une guerre sécuritaire asymétrique
Mais mettre en œuvre ces protections est plus facile à dire qu’à faire, a déclaré à CoinDesk le PDG et co-fondateur de la société de sécurité CertiK, Ronghui Gu.
Se défendre contre ces menaces est devenu une bataille inégale, a déclaré Gu.
« Nous assistons actuellement à une guerre de consommation de jetons d’IA dans laquelle les pirates sont fortement motivés par le profit », a-t-il déclaré. « Pour trouver un exploit, ils peuvent graver un nombre massif de jetons d’IA sur une seule cible, comme un projet ou un contrat intelligent. »
Gu a expliqué que les pirates informatiques motivés par le profit sont actuellement engagés dans une guerre de consommation symbolique, brûlant d’énormes quantités de puissance de calcul pour cibler des contrats intelligents individuels. Étant donné que les sociétés de sécurité doivent protéger des centaines de clients simultanément, elles ne peuvent pas allouer les mêmes ressources concentrées à une seule cible sans engager des coûts d’investissement importants.
Pour se protéger de ce risque asymétrique, Gu a déclaré que les entreprises de sécurité doivent intégrer des scanners automatisés directement dans les flux de développement quotidiens via des sessions plus petites et à la demande, tout en s’appuyant sur des preuves mathématiques pour garantir que les contrats satisfont aux propriétés de sécurité clés.
Pour Gu, le défi ne consiste plus simplement à trouver les bugs avant les attaquants ; il s’agit plutôt de renforcer les défenses contre ces vulnérabilités assez rapidement pour suivre le rythme des systèmes d’IA de plus en plus puissants.
Même si le débat sur la manière de garder une longueur d’avance sur de telles vulnérabilités va probablement se poursuivre, à mesure que l’IA s’améliore, est plus rapide et plus intelligente, la question qui se pose à tous les développeurs est de savoir comment garantir que de tels incidents ne se reproduisent plus.
Peut-être que le PDG de ZODL, Josh Swihart (ancien PDG d’Electric Coin Company, un développeur clé de Zcash), l’a dit avec justesse :
« La question la plus intéressante est de savoir comment garantir que les vulnérabilités ne se reproduiront plus. La meilleure réponse est la vérification formelle », a déclaré Swihart dans son article X, intitulé « Plus jamais ça ».