Archives par mot-clé : conditions d’utilisation

Cybersécurité, IA

HackerOne et l’IA : la confiance des hackers ébranlée

Un lancement produit a suffi à faire monter la pression dans l’écosystème bug bounty. Chez HackerOne, une promesse d’IA « agentique » a réveillé une crainte simple : l’exploitation des rapports des chercheurs.

HackerOne s’est retrouvé au centre d’une controverse après le lancement d’Agentic PTaaS, présenté comme des tests de sécurité continus combinant agents d’IA autonomes et expertise humaine. Une phrase sur une « base de connaissances exclusive sur les exploits », constituée au fil d’années de tests réels, a déclenché une question sensible : d’où viennent les données d’entraînement. Des chercheurs, dont l’ancien contributeur YShahinzadeh et le spécialiste AegisTrail, ont exprimé leurs inquiétudes.

La phrase de trop dans Agentic PTaaS

L’incident démarre avec un produit, Agentic PTaaS, que HackerOne décrit comme un dispositif de « tests de sécurité continus » reposant sur des agents d’IA autonomes, complétés par des humains. La promesse est ambitieuse, presque séduisante pour des clients pressés d’industrialiser la sécurité. Pourtant, dans ce type d’annonces, tout se joue souvent sur une formulation.

Ici, c’est la mention d’agents « entraînés et perfectionnés » grâce à une « base de connaissances exclusive sur les exploits », alimentée par des années de tests sur des systèmes d’entreprise réels. Dans le monde du bug bounty, ces mots ont une portée particulière. Les rapports de vulnérabilités sont plus que des tickets techniques, ce sont des récits d’accès, de logique d’exploitation, de preuves, parfois de contournements. Ils concentrent des idées originales, une méthodologie et, souvent, des détails sensibles.

Très vite, la question s’impose chez les chasseurs de bugs : ces connaissances viennent-elles, directement ou indirectement, des rapports soumis par les chercheurs ? Un ancien chasseur, sous le pseudonyme YShahinzadeh, formule la crainte sans détour, en demandant, en substance, que ses rapports n’aient pas servi à entraîner ces agents. La tension est immédiate, car l’équilibre économique et moral du bug bounty repose sur un contrat implicite : le chercheur fournit un signal rare, la plateforme orchestre, le client corrige, la prime rémunère. Si ce signal devient une matière première pour des systèmes automatisés, la valeur perçue du travail humain peut se déplacer, sans compensation claire.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Un autre spécialiste, AegisTrail, pousse l’alerte sur un terrain plus sombre. Il décrit un moment où des « chapeaux blancs » peuvent se sentir coincés, comme si les règles se retournaient contre eux, au point que « le côté obscur » devienne une tentation nourrie par la colère et l’instinct de survie plutôt que par l’éthique. Derrière la formule, il y a un message de contre-renseignement : quand la confiance s’érode, les comportements changent, et l’écosystème entier devient plus difficile à gouverner.

La réponse de la PDG et l’effet domino chez les concurrents

La pression publique a conduit la PDG, Kara Sprague, à s’exprimer de manière détaillée sur LinkedIn. Son message vise précisément le point le plus explosif : l’entraînement. Elle affirme que HackerOne n’entraîne pas de modèles d’IA génératifs, ni en interne ni via des prestataires, à partir des rapports des chercheurs ou de données confidentielles de clients. Elle ajoute que ces rapports ne servent pas non plus à affiner ou améliorer les modèles. Enfin, elle explique que les fournisseurs de modèles tiers n’ont pas le droit de stocker ou d’exploiter les données des chercheurs ou des clients pour entraîner leurs propres modèles.

Dans le même mouvement, Sprague présente HackerOne Hai, le système d’IA « basé sur des agents », comme un accélérateur opérationnel : produire plus vite des résultats, comme des rapports vérifiés, des correctifs et des primes versées, tout en protégeant l’intégrité et la confidentialité des contributions des chercheurs. Dit autrement, l’IA est placée du côté de la logistique et de la mise en qualité, pas du côté de l’absorption des contenus sensibles.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Face à la polémique, HackerOne indique, de son côté, vouloir mettre à jour ses conditions générales. Le signal est important : ce qui relevait d’engagements et d’explications publiques doit désormais se transformer en texte opposable. Dans un secteur où l’asymétrie d’information est permanente, formaliser, c’est aussi reconnaître que la confiance ne se décrète pas, elle se contracte.

Au fond, cette séquence rappelle une règle de cyber-intelligence : dès qu’une plateforme parle d’IA, la première attaque porte sur la provenance des données, car c’est là que se joue la légitimité.

Base de données, Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle

Si c’est gratuit, c’est vous le produit, AVG le confirme

L’éditeur de la solution de sécurité informatique AVG vient de changer ses conditions d’utilisation et indique clairement que sa version gratuite lui permet de collecter des informations sur les utilisateurs. Données qui seront revendues.

L’éditeur Tchèque AVG, créateur de l’antivirus éponyme, propose une version gratuite de son antivirus utilisé par des millions de personnes. L’entreprise vient d’annoncer qu’elle avait modifié ses conditions d’utilisation. Des conditions qui ont le mérite d’être claires.

Dans sa version anglaise, les conditions d’utilisation indiquent qu’AVG peut revendre les données que la société collecte « Nous recueillons des données non personnelles pour faire de l’argent via nos offres gratuites afin que nous puissions les garder gratuites » [We collect non-personal data to make money from our free offerings so we can keep them free].

Après Windows 10, AVG est une nouvelle entreprise à jouer totale transparence sur les informations quelle collecte : informations sur les applications installées dans votre machine; la façon dont ces applications sont utilisées; l’identifiant publicitaire qui vous est associé; votre navigation et votre historique, y compris les métadonnées; le type de connexion Internet que vous utilisez pour vous connecter.

Cette nouvelle politique entrera en vigueur à partir du 15 octobre 2015. A noter que la page française de la « Politique de Confidentialité » d’AVG n’a pas été modifiée.

Mise à jour : AVG souhaite clarifier la situation et apporter plus de précisions sur ce sujet, via un billet posté sur le blog de la société. A la suite de notre article, l’éditeur a fait une petite marche arrière et a précisé, dans un nouveau post, la méthode pour « Comprendre la nouvelle politique de confidentialité de AVG« . L’éditeur explique que sa politique de confidentialité a été effectuée via la « mise en place d’une page, facile à lire, de la politique de confidentialité pour nos clients. Elle donne l’information dont ils ont besoin, plutôt qu’un long document, légalement écrit, est difficile à comprendre. » Le document indique aujourd’hui que « Lors de la création de notre nouveau format de cette politique, nous avons décidé que nos clients devaient avoir la possibilité de choisir, si oui ou non, ils souhaitaient participer à notre programme de collecte de données anonymisées« . Changement de ton, donc. « Exit » la ligne qui indiquait clairement que les données seraient revendues pour permettre à la version gratuite d’AVG de perdurer. Dorénavant, la collecte est une option « et nous pouvons confirmer qu’aucun partage des données ne se passera jusqu’à ce que nos clients soient en mesure de faire ce choix« . Bref, l’utilisateur de l’outil gratuit pourra accepter, ou non, de fournir ses données.