Adieu C++ : l'IA récrira le code critique en Rust sécurisé

Le monde de la technologie numérique repose toujours sur des béquilles créées au siècle dernier. Une énorme partie de l'infrastructure critique — des systèmes bancaires aux bases de données gouvernementales — est écrite en C et C++. Ces langages donnent aux programmeurs un énorme pouvoir sur la mémoire de l'ordinateur, mais, comme nous le savons, le grand pouvoir entraîne des erreurs monstrueuses.

Environ 70 pour cent de toutes les vulnérabilités logicielles modernes sont liées à la mauvaise gestion de la mémoire. Ce sont précisément les trous par lesquels les pirates informatiques se faufilent dans les systèmes protégés depuis des décennies. Auparavant, nous n'avions pas d'issue : réécrire des millions de lignes de code ancien à la main était trop cher, trop long et simplement trop ennuyeux pour les ingénieurs qualifiés.

La situation a changé avec l'apparition de Rust. Ce langage de programmation, lancé en 2015, promet la même performance que C++, mais avec des « mécanismes de sécurité » intégrés qui empêchent physiquement les erreurs fatales lors du travail avec la mémoire. Le problème, c'est que Rust est un langage complexe, et il y a bien moins d'experts en Rust que de passionnés de la programmation classique.

Et c'est ici qu'entre en scène l'intelligence artificielle. Une nouvelle initiative appelée Great Refactor propose d'utiliser des réseaux de neurones pour enfin nettoyer ces écuries d'Augias du code obsolète. L'idée est simple : si les gens ne veulent pas ou ne peuvent pas réécrire Internet de manière sécurisée, laissez les machines le faire.

L'Institut du Progrès (Institute for Progress) a lancé un projet visant à convertir 100 millions de lignes de code ouvert en Rust d'ici 2030. Pour cela, il demande rien de moins que 100 millions de dollars. La somme semble impressionnante, mais le directeur du projet, Herby Bradley de Cambridge, remet rapidement les choses en perspective. Selon ses calculs, de tels investissements aideraient à prévenir les cyberattaques ayant un dommage total d'environ 2 milliards de dollars. Ce n'est pas seulement une économie, c'est une question de survie d'un écosystème numérique qui devient de plus en plus fragile face aux outils de piratage automatisés.

Sur le plan technique, la tâche ne semble plus aussi fantastique qu'il y a quelques années. Les modèles LLM modernes gèrent très bien la traduction de petits morceaux de code jusqu'à 1 000 lignes presque sans supervision. Avec un peu de contrôle humain, les réseaux de neurones peuvent déjà « traiter » des projets de jusqu'à 5 000 lignes.

La principale difficulté ici n'est pas simplement de faire fonctionner le code. Il est important qu'il soit « idiomatique ». Dans le langage des programmeurs, cela signifie que le code devrait sembler avoir été écrit par un vrai expert en Rust, en suivant toutes les meilleures pratiques et traditions.

Si l'IA produit une bouillie illisible qu'il est impossible de maintenir, alors tout le sens de la refactorisation est perdu.

L'agence de défense DARPA a également entré en jeu avec son programme TRACTOR. Ils explorent une approche hybride : combinant l'analyse statique de code classique, perfectionnée au fil des décennies, avec les modèles génératifs modernes. Cela a du sens, car les réseaux de neurones sont sujets aux hallucinations, et en matière de sécurité des logiciels critiques, le prix de l'erreur n'est pas seulement un site web tombé, mais un effondrement potentiel des systèmes de soutien vital. Jusqu'à présent, les résultats des premiers tests montrent que l'IA peut être un excellent apprenti, mais le rôle d'architecte en chef reste celui des humains.

Il existe aussi une opinion sceptique. Les développeurs expérimentés craignent que la migration massive du code vers Rust ne crée une pénurie de spécialistes pour le maintenir. Les experts en Rust sont peu nombreux, et si nous obtenons soudainement des millions de nouvelles lignes de code dans ce langage, qui en monitrera la pertinence dans cinq ans ?

De plus, le financement gouvernemental à cette échelle est chose peu maniable. Peut-être que le secteur privé devra prendre l'initiative en main, d'autant plus que les géants technologiques comme Google et Microsoft convertissent déjà leurs composants clés en Rust par eux-mêmes. Le projet Great Refactor, en revanche, cible la « longue traîne » de petites bibliothèques maintenues par un couple de bénévoles qui forment néanmoins la base de la moitié des logiciels mondiaux.

L'essentiel : L'IA sera-t-elle cette « balle d'argent » qui tue les vulnérabilités de mémoire, ou allons-nous simplement remplacer les anciens bugs par de nouveaux générés par les réseaux de neurones ?