Fwupd 2.0.21 corrige plus de 250 failles de sécurité repérées grâce à l'IA
On savait que les modèles d’IA savaient écrire du code, on découvre cette année, de plus en plus qu’ils savent aussi le casser à une échelle qui dépasse l’entendement, et le projet fwupd vient d’en faire les frais d’une manière assez spectaculaire avec sa version 2.0.21, qui rattrape à elle seule plus de 250 problèmes de sécurité potentiels détectés sur les trois derniers mois, par des scanners de vulnérabilités pilotés par l’intelligence artificielle.
Derrière cette vague de correctifs, il y a surtout Mythos, le modèle développé par Anthropic, retiré depuis sur ordre des autorités américaines, et entraîné spécifiquement pour fouiller du code à la recherche de failles exploitables. Et les chiffres de son programme baptisé Project Glasswing donnent le vertige, puisqu’en passant au peigne fin plus de 1000 projets open source, Mythos a pointé environ 23 000 vulnérabilités potentielles, dont près de 1700 ont déjà été confirmées par des sociétés de sécurité externes et plus de 1000 classées graves ou critiques.
fwupd, c’est justement l’un de ces projets passés au crible. Pour rappel, ce logiciel libre est la brique qui s’occupe de mettre à jour le firmware de vos machines sous Linux (le firmware, c’est le petit programme gravé au plus près du matériel, dans la carte mère ou le SSD, et qui démarre avant même le système d’exploitation). Il alimente le LVFS (Linux Vendor Firmware Service), une sorte de magasin centralisé où les fabricants déposent leurs mises à jour, et d’où des millions de PC sous Linux viennent piocher de quoi se mettre à niveau sans bricoler dans le BIOS.
C’est Richard Hughes, le développeur de Red Hat qui pilote fwupd depuis des années, qui a fait le ménage. La 2.0.21 n’apporte volontairement aucune fonctionnalité nouvelle, puisque Hughes s’est contenté de rapatrier les correctifs déjà passés dans la branche récente 2.1.x vers la vieille branche 2.0.x, celle sur laquelle restent accrochées les distributions stables qui n’aiment pas changer de version dans leurs dépôts officiels, du genre Debian ou les déclinaisons pensées pour l’entreprise. Du coup, même les serveurs et les postes figés sur du logiciel volontairement ancien profitent du nettoyage.
Alors il faut quand même relativiser. Sur ces 250 problèmes, on parle de soucis potentiels, pas de portes grandes ouvertes activement exploitées par des pirates, et une bonne partie ne serait sans doute jamais devenue une vraie attaque dans la nature. Sauf que voilà, un bug qui traîne dans du firmware, c’est rarement anodin, vu que ce code tourne avant le système, avec des privilèges énormes, dans un recoin qu’un antivirus ne va quasiment jamais inspecter.
Source :
Phoronix
Source : korben.info