Intruder a créé un agent AI qui réalise des pentests en quelques minutes au lieu de plusieurs jours

Le pentest manuel coûte entre 10 et 50 000 dollars, nécessite des semaines de préparation et de coordination, des jours d'exécution, et le rapport devient souvent obsolète avant d'être complètement lu. Cela explique pourquoi la sécurité dans les startups reste précaire : les audits sont coûteux et les résultats perdent rapidement leur pertinence. La société londonienne Intruder, diplômée de l'accélérateur de cybersécurité du GCHQ, a lancé des agents IA qui répliquent la méthodologie des testeurs humains, mais exécutent le travail plusieurs ordres de grandeur plus rapidement et moins cher. C'est le premier système de pentesting véritablement automatisé qui ne nécessite pas de préparation manuelle de scripts.

Comment Fonctionne le Pentester IA

L'IA d'Intruder voit l'écran et le navigateur exactement comme un humain. Ce n'est pas simplement un wrapper autour de scanners existants comme Burp Suite — le système analyse l'interface, trouve les champs de saisie, comprend la logique de l'application et tente méthodiquement de la casser. Processus typique : l'agent ouvre le site web cible, trouve un formulaire de connexion, essaie des mots de passe standard et des combinaisons typiques (admin/password, root/root), analyse la réponse du serveur.

Puis il explore l'interface plus avant, recherche les champs de saisie de données, introduit dans chacun des vecteurs d'attaque typiques : injections SQL ('; DROP TABLE users; --), charges utiles XSS (<script>alert(1)</script>), vérifie la réaction. Il vérifie également les droits d'accès : un utilisateur normal peut-il accéder au panneau d'administration, un client peut-il voir les données d'un autre client ?

Vérifications principales de l'IA :

• Analyse des ports ouverts, des services et de leurs versions
• Test d'authentification : mots de passe faibles, identifiants par défaut, contournement 2FA
• Vérification de l'autorisation : escalade de privilèges horizontale et verticale
• Recherche d'injections SQL, XSS, CSRF sur tous les formulaires web
• Analyse de la configuration : buckets S3 non protégés, clés API exposées, fuites de code
• Génération d'un rapport avec des recommandations pour corriger chaque vulnérabilité

L'Économie du Pentesting S'Inverse

Un pentester professionnel coûte entre 50 et 150 dollars de l'heure. Un audit complet d'une entreprise moyenne nécessite une semaine de préparation, une semaine de test et une semaine de documentation. Total : trois semaines, 20 à 50 000 dollars, un rapport qui dans un mois peut devenir obsolète en raison des mises à jour du code.

L'IA gère cela en heures ou minutes selon la taille du système, les coûts baissent de plusieurs ordres de grandeur. Pour les startups et les PME, c'est une révolution — auparavant, elles ne pouvaient simplement pas se permettre des audits professionnels. Maintenant, la sécurité peut être vérifiée régulièrement : hebdomadairement ou mensuellement, comme des tests de régression ordinaires.

Cela change fondamentalement le modèle de sécurité d'une vérification unique à une analyse continue.

Pièges et Limitations

L'IA fonctionne très bien sur les vulnérabilités typiques, mais est souvent aveugle aux erreurs logiques. Si une application a une logique métier non standard (une erreur dans l'algorithme de paiement permettant d'acheter moins cher), l'IA peut la manquer. De plus, l'IA peut se bloquer sur les CAPTCHAs, ne pas passer par une obfuscation JavaScript complexe, ne pas gérer WebAssembly côté client. Sur les systèmes nécessitant un accès physique ou de l'ingénierie sociale, l'IA est complètement impuissante. Par conséquent, les pentests d'IA complètent mais ne remplacent pas les audits complets sur les systèmes critiques. Les startups utilisent l'IA pour la première couche. Les banques et agences gouvernementales — pentest traditionnel plus l'IA comme deuxième avis et analyse continue.

Ce Que Cela Signifie

L'IA en cybersécurité passe des laboratoires à un outil de combat. La sécurité cesse d'être un luxe des grandes entreprises et devient accessible aux startups. C'est bon : moins de vulnérabilités évidentes sur internet. Mais c'est mauvais : les acteurs malveillants obtiennent également accès aux outils d'IA pour les attaques et le craquage de mots de passe. Le résultat est une escalade : les défenseurs vérifient plus souvent, les attaquants innovent plus vite. Pour les entreprises, la conclusion est une : la sécurité n'est plus une dépense unique mais une pratique constante.