L’IA bouscule les bug bounty: HackerOne suspend son programme, qu’en est-il en Suisse?
L’IA accélère la chasse aux vulnérabilités, mais multiplie aussi les faux signalements. Sous la pression d’un triage devenu plus lourd, HackerOne suspend son programme de bug bounty dédié à l’open source. En Suisse, des organisations qui exploitent leurs propres programmes, dont l’OFCS, La Poste et Swisscom, observent la même tendance sans évoquer de saturation à ce stade.
HackerOne a annoncé la suspension de son programme Internet Bug Bounty (IBB), un dispositif de chasse aux vulnérabilités qui invite des hackers éthiques du monde entier à identifier des failles de sécurité, avec des récompenses financières à la clé en cas de découverte validée. Selon la plateforme, la généralisation de la recherche assistée par IA a rompu l'équilibre entre volume de découvertes et capacité de remédiation dans l'open source, la vitesse de détection des vulnérabilités augmentant désormais bien plus vite que la capacité de correction des mainteneurs. HackerOne dit vouloir profiter de cette pause pour réévaluer la structure du programme et ses mécanismes d'incitation.
Le programme reposait jusqu'ici sur un modèle de récompense 80/20. Les rapports déjà actifs continueront toutefois d'être traités et rémunérés selon les procédures habituelles. HackerOne précise également maintenir son soutien aux projets open source éligibles, qui conservent un accès gratuit à sa Community Edition, incluant des fonctions de tri assisté par IA et d'automatisation des workflows.
La crise des failles artificielles à l'international
Le cas de HackerOne n'est pas isolé. Le projet logiciel cURL a mis fin à son programme de récompenses pour les mêmes raisons. Sur son blog, son créateur Daniel Stenberg a dénoncé une avalanche de faux rapports générés par l'IA, qu'il qualifie lui-même d'attaque par déni de service contre son équipe de sécurité. Son équipe perdait des heures à vérifier des vulnérabilités inventées, au point que le créateur a décrit la situation comme un épuisement menaçant la survie même du projet. Face à ce raz-de-marée, Google a également revu les règles de son programme de bug bounty open source (OSS VRP), en exigeant des preuves techniques plus solides pour certaines vulnérabilités, afin de filtrer l'afflux de rapports générés par l'IA et de faible qualité.
En Suisse, la pression monte sur le triage
Certaines entreprises et organisations suisses misent aussi depuis plusieurs années sur ce type de programmes de chasse aux bugs. Contactées par la rédaction, elles décrivent toutes une même évolution: les signalements assistés par IA se multiplient, sans toutefois provoquer de saturation comparable à celle observée chez HackerOne.
Le phénomène se traduit moins par une explosion inédite des volumes que par une transformation qualitative des rapports reçus. Swisscom a bien enregistré un pic en mars 2026, mais comparable à d’autres vagues passées. Le changement le plus net tient à la généralisation des rapports rédigés avec l’aide d’agents automatisés, désormais omniprésents selon l’opérateur.
Le principal défi se situe au moment du triage. De nombreux signalements paraissent convaincants à première vue, avant de s’avérer invalides après vérification technique. «Beaucoup s’avèrent être ce qu’on appelle des AI-Slop», résume Alicia Richon, porte-parole de Swisscom. A La Poste suisse, le constat porte surtout sur l’absence fréquente de preuve. «Il manque souvent la preuve claire qu’une faille peut vraiment être exploitée», souligne Silvana Grellmann, porte-parole du groupe.
Ses équipes ont progressivement établi plusieurs marqueurs récurrents: rapports excessivement longs, faible densité technique, absence de preuve de concept ou évaluation irréaliste du risque.
Cette montée des faux positifs se répercute directement sur les processus internes. La Poste a déjà renforcé ses conditions de participation et limite les nouveaux hunters à deux signalements simultanés jusqu’à validation de leur fiabilité. Swisscom indique, de son côté, utiliser de plus en plus l’IA pour assister ses propres opérations de triage.
Du côté de l'Office fédéral de la cybersécurité (OFCS), on observe surtout des vulnérabilités théoriques, des écarts d’implémentation sans impact concret ou des alertes invalides. Si ce type de rapports venait à saturer les programmes de bug bounty publics, l’office n’exclut pas d’adapter à terme les règles d’engagement de la communauté, voire le système de récompense.
À ce stade, aucun des trois acteurs n’envisage toutefois une suspension de leur programme.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
