Maintenant qu’un attaquant peut utiliser un LLM pour exploiter un bug dès qu’il est détecté, prendre 12 jours pour le patcher « est essentiellement une note de suicide pour votre réseau », déclare un expert.
Deux semaines après que des chercheurs utilisant un outil d’IA ont découvert une faille majeure dans le middleware de messagerie ActiveMQ d’Apache, il existe encore des milliers d’instances non corrigées ouvertes sur Internet, preuve supplémentaire que de nombreux développeurs d’applications et responsables informatiques ne prêtent pas une attention particulière aux avertissements concernant les vulnérabilités.
Bien que la vulnérabilité d’injection de code à distance (CVE-2026-34197) ait été révélée le 7 avril, selon les statistiques de la ShadowServer Foundation, il existe encore près de 6 500 instances d’ActiveMQ non corrigées susceptibles d’être utilisées abusivement.
Les versions d’ActiveMQ et d’ActiveMQ Broker antérieures à 5.19.4 et 6.0 à antérieures à 6.2.3 sont vulnérables ; cela signifie que la faille aurait pu être exploitée pendant plus d’une décennie. ActiveMQ Artemis n’est pas affecté.
Le problème est si grave que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté cette semaine le bug à sa liste de vulnérabilités connues et exploitées (KEV), exhortant les agences fédérales à mettre rapidement à jour leurs applications.
Cette décision devrait également être considérée par les développeurs du secteur privé qui utilisent ActiveMQ dans leurs applications, ainsi que par les responsables informatiques et de sécurité qui ont des applications utilisant ActiveMQ dans leurs environnements, comme un signal pour agir rapidement et mettre à niveau vers les versions corrigées 5.19.4 ou 6.2.3.
Bug trouvé par l’IA en 10 minutes
Le trou a été découvert par des chercheurs d’Horizon3.ai à l’aide de l’assistant Claude AI d’Anthropic. Cela leur a pris environ 10 minutes, illustration de la rapidité avec laquelle les outils d’IA modernes peuvent être utilisés par les experts pour trouver des vulnérabilités. Anthropic affirme que son outil Claude Mythos en version limitée est encore meilleur que Claude pour trouver des défauts.
Apache indique qu’un attaquant authentifié peut exploiter la faille avec un URI de découverte contrefait qui déclenche un paramètre pour charger un contexte d’application Spring XML distant à l’aide de . Étant donné que Spring instancie tous les beans singleton avant de valider la configuration, l’exécution de code arbitraire se produit sur la machine virtuelle Java du courtier via des méthodes de fabrique de bean telles que .
« Cette vulnérabilité est restée là pendant 13 ans », a noté Enderle. « Les humains l’ont manqué, les scanners l’ont manqué, mais Claude l’a trouvé en combien de temps, 10 minutes ? C’est un énorme bond en avant en termes de capacités. L’IA agit essentiellement comme un archéologue pour les exploits, déterrant chaque squelette que nous avons laissé dans nos placards au cours de la dernière décennie. »
L’automatisation est la clé
« Si une entreprise n’a pas encore corrigé ce problème, elle a dépassé le stade du ‘problème de ressources’ et s’est retrouvée directement dans une situation de négligence professionnelle », a déclaré Enderle. « Nous devons arrêter de traiter les correctifs comme une corvée et commencer à les traiter comme une nécessité de survie. »
La solution est simple, mais difficile à avaler pour la plupart des magasins informatiques de la vieille école, a-t-il noté : Écartez les humains. « Si l’IA découvre des failles en quelques minutes », a-t-il déclaré, « un cycle de correctifs manuels de 12 jours est essentiellement une invitation à se faire voler ».
Commencez par établir une nomenclature logicielle pour chaque application de votre environnement, a conseillé Enderle. « Sans cela, vous ne faites que deviner ce qu’il y a sous le capot. Vous avez besoin d’un inventaire automatisé et en direct, utilisant des normes comme CycloneDX, donc à la seconde où un bug comme celui-ci (ActiveMQ) survient, vous n’analysez pas. Vous savez déjà exactement quelles applications contiennent l’ingrédient empoisonné. «
Deuxièmement, a-t-il dit, corrigez automatiquement les petits éléments et utilisez des tests automatisés pour les gros systèmes. Encore une fois, il a soutenu que si le service informatique attend toujours une fenêtre de maintenance le week-end ou l’approbation d’un comité pour corriger une faille critique, « vous jouez à un jeu de 2010 dans un monde de 2026 ».
« En fin de compte », a-t-il déclaré : « Si vous ne savez pas ce qu’il y a dans votre logiciel et que vous ne pouvez pas le réparer plus rapidement qu’un LLM ne peut le trouver, vous n’êtes qu’une cible.
