Google déploie des pieuvres métalliques pour traquer les failles avant l’aube
Royal Hansen n’a pas dormi depuis vingt ans. Pas vraiment. L’ancien hacker du légendaire collectif L0pht—ce laboratoire clandestin où l’on démontait les banques « pour voir »—dirige aujourd’hui la sécurité de Google. Il y a bâti un bestiaire d’IA autoportantes : Big Sleep qui rêve les vulnérabilités pendant qu’on ronfle, Code Mender qui recoud les plaies à la volée, et bientôt des « sentinelles» tentaculaires qui circulent dans les canaux de l’entreprise comme des égouts numériques, aspirant les données suspects avant qu’elles ne pourrissent. Le tout, sans attendre l’homme.
La guerre souterraine que personne ne voit
Chaque nuit, 300 milliards de courriels traversent la planète. 170 milliards sont des dards : spam, hameçons, chantages. Impossible de les lire un par un. « Sans IA, nous serions submergés en dix minutes », glisse Hansen depuis Mountain View. L’algorithme ancien, celui qu’on croyait futuriste, a donc vieilli. Il bloquait déjà Gmail il y a dix ans. Aujourd’hui, la donne a basculé : plus question de tout contrôler, il s’agit de tracer des garde-fous et d’accepter l’incertitude. Le code n’est plus un ruban d’acier, c’est une rivière qui bifurque.
Alors Google investit dans l’autonomie défensive. Big Sleep explore les entrailles de Chrome, Android, Cloud. Quand il repère une faille, Code Mender génère un patch, le teste, le pousse en production. Cycle bouclé en quelques heures. « C’est la première fois qu’un robot nous dépanne pendant qu’on dort », sourit Hansen. Mais le rythme est infernal. Dès qu’un rempart monte, l’adversaire change de coupe-chemise. « On ne leur laisse même pas le temps de fêter leur victoire », assure-t-il. Pourtant, la machine à cirer semble toujours en retard sur la machine à trouer.
Matrix recrute à l’intérieur
Dans les data centers de Google, des poulpes métalliques rampent. Ils s’appellent Chronicle, VirusTotal, Mandiant, des bêtes fusionnées depuis l’acquisition de 5,4 milliards de dollars. Leur mission : digérer les logs, flairer les comportements anormaux, couper l’herbe sous le pied aux ransomwares. « On élimine le code mort comme on retire une bombe inerte », décrit Hansen. Image saisissante : des robots éboueurs qui trient les déchets binaires pendant que les humains continuent à coder.
Le plus dérangeant ? L’équilibre des forces. Hansen le confesse à voix basse : les agresseurs s’approprient l’IA plus vite que les défenseurs. Pourquoi ? Parce qu’il suffit de pirater une boîte, de revendre la clé, de toucher la rançon. Pas besoin d’éthique. « Le pourcentage de criminels qui utilisent le machine learning est aujourd’ui supérieur à celui des gentils », admet-il. C’est la première fois qu’une technologie émerge côté obscur avant côté lumière. Et ça le rend nerveux.
L’argent ou le frisson
Deux moteurs alimentent la cyber-criminalité. Le profit : un ransomware moyen rapporte 1,5 million de dollars, selant les PME comme des tubes de dentifrice. Le kick : casser pour casser, revendre la vulnérabilité sur un forum, collectionner les zero-days comme des trophées. « C’est le même vertige qu’au L0pht », se souvient Hansen. Sauf qu’aujourd’hui le jeu se joue à l’échelle planétaire et que les cartes sont truquées par des bots.
Google a donc monté un red team interne, recrutant des anciens « méchants » à prix d’or. « On leur offre un salaire, un badge et la légitimité de hacker sans aller en prison », ironise-t-il. Objectif : simuler l’enfer avant qu’il n’arrive. Résultat : des failles corrigées en avance, des attaques réduites à des drills. Mais le vivier reste étroit. « Il n’y a qu’une poignée de vrais malades sur Terre, mais ils ont des copies d’eux-mêmes partout », conclut Hansen.
Alors il parcourt les campus, les meet-ups, les salons, prêchant l’apprentissage massif de l’IA. Pas question d’attendre une régulation miracle. « Comprendre l’algorithme, c’est comme apprendre à nager : si tu refuses, tu coules. » Le 11 février, Journée de l’Internet sécurisé, il lâchera ses pieuvres dans le wild, hors de Google, pour protéger hôpitaux, mairies, PME. Le pari : que les défenseurs deviennent plus nombreux, plus rapides, plus créatifs. Sinon, le cauchemar prendra le contrôle pendant que nous dormirons encore.