Deux événements cette semaine illustrent la puissance croissante de l’IA et les vulnérabilités grandissantes de notre infrastructure. Une machine a donné tort aux mathématiciens. Une autre faille a touché des milliers de développeurs dans leur quotidien.

L’IA résout un problème mathématique vieux de 50 ans

Le dernier modèle d’OpenAI vient de réfuter la conjecture de Kneser en géométrie discrète — un problème que les mathématiciens n’arrivaient pas à résoudre depuis cinq décennies. Le modèle a trouvé un contre-exemple qui avait échappé aux chercheurs humains, réécrivant essentiellement une partie de la théorie mathématique.

Ce n’est pas qu’une victoire académique. Les percées mathématiques deviennent souvent la base de nouveaux algorithmes et techniques d’optimisation. Quand l’IA peut résoudre des problèmes inaccessibles aux humains, cela suggère qu’on entre dans une phase où l’IA ne se contente plus d’automatiser le travail existant — elle découvre de nouvelles possibilités.

Pour les entreprises, cela pointe vers le potentiel de l’IA au-delà des chatbots et de la génération de contenu. Les sociétés qui développent des agents IA personnalisés devraient penser applications de résolution de problèmes, pas seulement conversation. Les mêmes capacités de raisonnement qui ont percé la géométrie pourraient optimiser les chaînes d’approvisionnement, détecter des vulnérabilités réseau, ou découvrir de nouvelles configurations produit.

Une extension VSCode compromet 3800 dépôts

GitHub a confirmé qu’une extension VSCode malveillante a compromis 3800 dépôts. L’attaque a utilisé un outil de développement populaire — quelque chose que les développeurs installent sans réfléchir — pour voler du code source et des identifiants.

Ce n’était pas une exploitation zero-day sophistiquée. C’était une attaque de la chaîne d’approvisionnement qui a retourné les outils des développeurs contre eux. L’extension semblait légitime, a passé les contrôles de sécurité de base, et a obtenu l’accès à tout ce que les développeurs pouvaient atteindre.

L’impact business est immédiat. Ces 3800 dépôts contiennent probablement du code propriétaire, des clés API, des identifiants de base de données, et des données clients. Les entreprises font maintenant face au scénario cauchemardesque de ne pas savoir ce qui a été volé ou comment c’est utilisé.

La réalité sécuritaire

Ces histoires se rejoignent de façon inconfortable. Alors que l’IA devient plus puissante pour résoudre des problèmes complexes, notre infrastructure de développement devient plus complexe et vulnérable. On construit des systèmes IA plus vite qu’on sécurise les outils qui les construisent.

Chaque extension VSCode, chaque package npm, chaque image Docker est un vecteur d’attaque potentiel. Quand on automatise l’infrastructure et déploie des agents IA, on automatise aussi la propagation des compromissions.

Pour les entreprises qui développent des solutions IA personnalisées, la sécurité ne peut pas être une réflexion après coup. Votre agent IA peut résoudre des problèmes business complexes, mais s’il est construit sur une infrastructure compromise, vous venez d’automatiser votre faille de sécurité.

C’est pourquoi l’automatisation de l’infrastructure nécessite une sécurité intégrée dès le premier jour. Pas du théâtre de conformité — de la vraie modélisation de menaces, du scan de dépendances, et des contrôles d’accès qui partent du principe que la compromission va arriver.