Des systèmes d’IA offensifs, capables de détecter des failles inédites dans des services informatiques et de les exploiter, pourraient être bientôt sur le marché, en particulier Mythos d’Anthropic, qui fait grand bruit.
© Ludovic MARIN / AFP
Pas simple à première vue de distinguer le vrai du coup de communication. Quand, début avril, l’entreprise états-unienne Anthropic assurait que la nouvelle version de son IA générative, Claude, actuellement en test et baptisée Mythos, était si douée en code informatique qu’elle représentait une véritable menace en matière de cybersécurité mondiale et qu’on ne pouvait la laisser entre les mains de n’importe qui, le scepticisme était de mise.
Le PDG, Dario Amodei, annonçait en grande pompe le projet Glasswing, qui consiste à confier l’outil à quelques dizaines de géants du logiciel et des infrastructures technologiques – Amazon, Apple, Google, Microsoft, Nvidia ou encore à JPMorgan Chase… que des États-Uniens –, car si Mythos « tombait entre de mauvaises mains, les répercussions sur l’économie, la sécurité publique et la sécurité nationale pourraient être graves », assure Anthropic.
Cette entreprise qui a créé l’IA générative Claude est adepte des coups d’éclat. Après avoir participé à l’enlèvement de Maduro au Venezuela et aux premières frappes en Iran, elle a annoncé quitter le champ militaire tant qu’elle n’aurait pas l’assurance que son IA ne servirait pas à la surveillance de masse de citoyens états-uniens – les autres elle s’en moque –, ce qui lui avait permis de se donner une image « éthique » en opposition à son principal concurrent, Open AI. Ce dernier a d’ailleurs lancé ce mardi Daybreak, une réponse directe au projet d’Anthropic.
Une absence totale de transparence
Puis la fondation Mozilla, éditrice de Firefox, a expliqué publiquement que Mythos aurait trouvé pas moins de 271 failles et bugs dans la dernière version de son navigateur. Une quantité impressionnante. Sauf que, selon l’expert en cybersécurité et auteur du livre The Realities of Securing Big Data (les réalités de la sécurisation du big data, non traduit) Davi Ottenheimer, « l’avis de sécurité officiel (MFSA 2026-30), publié le même jour, ne mentionne que 41 VCE (vulnérabilités et expositions communes, autrement dit failles de sécurité, NDLR) », dont seulement trois à avoir été découvertes sont attribuées à l’IA Mythos.
Davi Ottenheimer soupçonne que, dans les 271 annoncés, il y ait beaucoup de récurrences du même bug, d’une même erreur de code et que, pour permettre à Anthropic de faire son coup de communication, Mozilla aurait changé sa manière de cataloguer les failles et bugs. L’absence totale de transparence – l’outil n’est entre les mains que de quelques multinationales – et le flou de la méthodologie ne permettent guère d’en savoir plus. Mais une fois encore, Anthropic se donne le beau rôle et s’engage « à verser jusqu’à 100 millions de dollars en crédits d’utilisation pour Mythos dans le cadre de l’initiative Glasswing, ainsi que 4 millions de dollars en dons directs à des organisations de sécurité open source ».
70 % des outils de cybersécurité utilisés en Europe sont états-uniens
Coup de communication ou non, force est de constater que cela a déjà produit des effets : le CERT-FR (French Computer Emergency Response Team, un service public français mais un nom anglais), l’entité gouvernementale rattachée à Matignon notamment chargée de coordonner le traitement des vulnérabilités informatiques, a listé ces derniers jours une large quantité d’entre elles, dans des proportions peu habituelles, chez des éditeurs majeurs : Microsoft, IBM, Linux, Cisco, Google… qui ont eu accès à Mythos. La menace apparaît aussi suffisamment crédible pour que Campus Cyber, une organisation qui regroupe quelque 200 acteurs publics et privés sur les enjeux de cybersécurité, se penche pendant quinze jours sur la question.
Une note a été rendue publique mercredi, appelant à une contre-expertise européenne indépendante sur l’outil, tout en relevant « qu’il (Mythos) révèle des grandes lignes de force qui refaçonnent le paysage de la cybersécurité sous nos yeux ». Le risque étant que ces outils se montrent « capables de déclencher une campagne mondiale massive de détection et de révélation de nouvelles vulnérabilités répandues dans une multitude de systèmes d’information, y compris dans des infrastructures et actifs critiques pour la continuité économique », poursuit la note.
Concrètement, ces outils pourraient être utilisés pour trouver des failles dans les infrastructures militaires, télécoms, de transports, énergétiques… en vue de provoquer de l’espionnage, du terrorisme ou du sabotage par exemple.
Ce lundi, l’autorité de cybersécurité allemande tirait à son tour la sonnette d’alarme.
Derrière les alertes, il y a un constat, bien triste pour la souveraineté européenne. Plus de 70 % des outils de cybersécurité utilisés en Europe sont états-uniens, et aucune organisation publique ou privée de l’Union n’a pu mettre la main sur Mythos, alors qu’OpenAI vient d’autoriser à Bruxelles l’accès à son outil. « L’Europe doit accélérer sur ses propres capacités d’évaluation, de test, d’usage défensif et de doctrine, ou disparaître de l’équation », conclut la note de Campus Cyber.
En savoir plus sur DEMOCRITE "de la vie de la cité à l'actualité internationale"
Subscribe to get the latest posts sent to your email.