Technologie

Controverse

CLAUDE MYTHOS : L'IA QUI A PIRATÉ TOUS LES SYSTÈMES D'EXPLOITATION DU MONDE ET ANTHROPIC N'OSE PAS PUBLIER

En février, les ingénieurs d'Anthropic ont testé leur nouveau modèle et ce qu'ils ont vu leur a tellement fait peur qu'ils ont décidé de ne pas le rendre public. En quelques semaines, il a découvert des milliers de vulnérabilités zero-day dans tous les systèmes d’exploitation et navigateurs de la planète, dont une faille qui n’avait pas été détectée depuis 27 ans.

Par Daniel Reyes···7 min de lecture·
Claude Mythos : l'IA anthropique qui a trouvé des milliers de zero-days

Claude Mythos : l'IA anthropique qui a trouvé des milliers de zero-days

Le 24 février 2026, les ingénieurs d'Anthropic ont activé pour la première fois leur nouveau modèle d'intelligence artificielle. On lui avait donné un nom mythologique : Claude Mythos Preview. Ce qui s'est passé ensuite a été suffisamment perturbateur pour que l'entreprise ait pris une décision qu'aucune entreprise technologique n'avait prise auparavant dans le secteur de l'IA grand public : présenter le modèle au monde tout en annonçant qu'elle ne le rendrait pas public. Cela existait. Ce qui a fonctionné. Ce qui était extraordinairement puissant. Et c'est précisément pourquoi cela ne peut pas être entre les mains de n'importe qui.

La raison, exposée avec une transparence inhabituelle sur le blog officiel d'Anthropic, était la suivante : Mythos avait démontré un bond spectaculaire dans ses capacités de cybersécurité par rapport à tous les modèles précédents, y compris une capacité qui jusqu'alors était considérée comme exclusive aux pirates informatiques les plus spécialisés de la planète : la capacité de découvrir et d'exploiter de manière autonome les vulnérabilités du jour zéro dans les principaux systèmes d'exploitation et navigateurs Web du marché.

Zero-day est le terme technique désignant une vulnérabilité de sécurité qui n'a pas été découverte ou corrigée. On l'appelle ainsi parce que lorsqu'elle est découverte, les développeurs travaillent sur une solution depuis "zéro jour". Ils constituent l'arme la plus précieuse sur le marché noir de la cybercriminalité : un Zero Day sous Windows, Chrome ou iOS peut valoir des millions de dollars car il permet à un attaquant de pénétrer dans les systèmes sans que personne ne le sache ou ne puisse se défendre.

Les chiffres qui changent tout

En quelques semaines, Mythos a identifié des milliers de vulnérabilités Zero Day de grande gravité sur tous les principaux systèmes d'exploitation et tous les navigateurs Web largement utilisés. Pas des dizaines. Pas des centaines. Des milliers. Le chiffre en lui-même est inquiétant, mais les exemples concrets qu'Anthropic a choisi de partager sont ce qui rend l'ampleur du problème tout à fait réelle.

Le cas le plus frappant était une défaillance du protocole TCP du système d'exploitation OpenBSD. OpenBSD est précisément le système d'exploitation le plus connu pour son extrême sécurité : il a été conçu dès le départ en donnant la priorité à la sécurité avant tout et est utilisé par les organisations qui ont besoin de la plus grande robustesse possible, des agences gouvernementales aux infrastructures critiques. Et cette décision était en vigueur depuis 27 ans. Plus d’un quart de siècle d’ingénieurs, d’auditeurs de sécurité, de chercheurs universitaires et de hackers du monde entier sont passés dessus sans le voir. Mythe l'a trouvé.

Vulnérabilités identifiées par Mythos Preview (avril 2026)

  • Des milliers de jours zéro sur tous les principaux systèmes d'exploitation (Windows, Linux, macOS, OpenBSD)
  • Vulnérabilités dans tous les principaux navigateurs Web (Chrome, Firefox, Safari, Edge)
  • Bogue vieux de 27 ans dans le protocole TCP OpenBSD — maintenant corrigé
  • Bogue FFmpeg vieux de 16 ans découvert après l'échec de 5 millions de tests d'analyse humaine précédents
  • Vulnérabilité de corruption de mémoire dans un moniteur de machine virtuelle de sécurité de la mémoire
  • Accès limité : seulement 12 partenaires fondateurs + 40 organisations d'infrastructures critiques

Mais si le cas d'OpenBSD choque par son histoire, celui de FFmpeg choque par son processus. FFmpeg est la bibliothèque de traitement audio et vidéo la plus utilisée au monde ; Il est présent sur des milliards d’appareils, des téléphones portables aux caméras de sécurité. La faille détectée par Mythos a survécu à plus de cinq millions de tests de sécurité automatisés sur seize ans. Ce n’est pas que personne ne l’ait cherché : c’est qu’aucun outil existant n’avait pu le trouver. Mythe l'a trouvé.

Projet Glasswing : la réponse institutionnelle

Compte tenu de cela, Anthropic a conçu un système d'accès contrôlé qu'il a appelé Project Glasswing. Au lieu de publier le modèle comme elle le ferait normalement, l'entreprise l'a distribué uniquement à douze organisations partenaires, toutes géantes de la technologie ou sociétés de cybersécurité de premier plan : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks et Anthropic lui-même.

Le mandat de chacun d'entre eux était purement défensif : utiliser Mythos pour analyser leur propre code et leurs logiciels open source à la recherche de vulnérabilités, les corriger avant que quelqu'un ne les exploite et partager les résultats avec le reste de l'industrie. Anthropic a également engagé 100 millions de dollars en crédits d'utilisation d'API et 4 millions de dollars en dons pour des projets de sécurité open source.

"Le niveau de capacité de codage est tel que le modèle peut surpasser tous les humains, sauf les plus compétents, dans la recherche et l'exploitation des vulnérabilités logicielles." — Anthropic, blog officiel, avril 2026

Logan Graham, chef de l'équipe Anthropic qui évalue les capacités dangereuses des nouveaux modèles, a décrit Mythos comme le « point de départ de ce que nous pensons être un tournant, ou un bilan, pour l'industrie ». Ce n’est pas la prose habituelle d’une déclaration de relations publiques. C'est la description de quelqu'un qui a vu quelque chose qu'il ne s'attendait pas à voir et qui ne sait pas trop comment le gérer.

Le problème que personne ne veut nommer directement

La décision d'Anthropic de ne pas publier Mythos est compréhensible. Mais cela entraîne une conséquence que l’entreprise reconnaît implicitement sans la développer pleinement : un modèle entraîné à bien programmer est, par définition, un modèle entraîné à trouver des bugs dans le code. Ce ne sont pas deux capacités différentes ; Il s'agit de la même vue sous deux angles différents.

Si Anthropic peut créer Mythos, Google DeepMind, OpenAI, Meta AI, xAI et les laboratoires gouvernementaux chinois, russes et autres qui investissent massivement dans l'intelligence artificielle depuis des années le peuvent aussi. La vraie question n’est pas de savoir si le Mythe existe. La vraie question est de savoir combien de mythes existent déjà, entre les mains d'acteurs qui ne sont pas incités à publier un communiqué de presse ou à créer une initiative de sécurité responsable.

Le chercheur français en cybersécurité Jacques Dupont, dans une analyse publiée dans The Conversation, a noté que Mythos révèle un problème structurel qui va au-delà de la cybersécurité conventionnelle : l'asymétrie entre les capacités offensives et défensives se creuse à une vitesse que les mécanismes de réponse existants ne peuvent pas suivre. Lorsqu'une IA peut découvrir en quelques semaines ce que les équipes humaines n'ont pas trouvé depuis des décennies, l'intervalle entre la découverte d'une vulnérabilité et son exploitation par des acteurs malveillants passe de plusieurs mois à quelques heures.

Est-ce une publicité sophistiquée ou une véritable alarme ?

Les analystes ont souligné que la façon dont Anthropic a présenté Mythos – en mettant l'accent sur son danger et pourquoi il ne peut pas être entre les mains du public – sert également parfaitement de campagne de marketing. Une entreprise qui peut dire "notre modèle est si puissant que nous avons décidé de ne pas le publier" communique quelque chose de très concret sur sa position dans la course à l'IA.

La critique est légitime. Mais cela n’invalide pas le fond du problème. Les vulnérabilités trouvées par Mythos sont réelles, elles ont été corrigées et le processus de découverte était véritablement nouveau. Ce qui reste à débattre est de savoir si la communication d'Anthropic a optimisé l'alarme plus que ce qui était nécessaire pour ses propres intérêts commerciaux. La réponse honnête est probablement : oui, en partie. Mais le fait qu'il y ait une composante marketing dans la présentation ne rend pas le phénomène faux.

Implication directe pour les entreprises et les utilisateurs : Si une IA peut détecter des jours zéro dans des semaines qui n'ont pas été détectées depuis des décennies, le rythme auquel les entreprises mettent à jour leurs logiciels doit changer radicalement. Les audits de sécurité annuels ou trimestriels ne suffisent plus. Le modèle de cybersécurité réactif (nous corrigeons lorsque quelqu'un découvre le bug) a atteint ses limites.

Quelle est la prochaine étape

Anthropic a annoncé qu'il continuerait à étendre progressivement l'accès à Mythos à mesure qu'il développerait de meilleurs outils pour garantir que le modèle soit utilisé uniquement de manière défensive. La société travaille également avec des responsables du gouvernement américain pour discuter des implications de ce modèle sur la sécurité nationale. OpenAI a lancé son propre programme de cyberdéfense à accès limité une semaine après l'annonce de Mythos, suggérant que la course pour être le premier dans ce domaine est déjà lancée.

La question à laquelle tout le monde dans l'industrie évite de répondre directement est la suivante : combien de temps le modèle à accès contrôlé peut-il être maintenu avant qu'un modèle équivalent à Mythos ne soit disponible pour quiconque, soit parce que quelqu'un l'a divulgué, parce qu'un acteur étatique l'a développé de manière indépendante, ou parce que la vitesse d'amélioration des modèles plus petits les amène à ce niveau de capacité ? La réponse de la plupart des experts est : pas grand-chose.

Partager cet article

Articles similaires

Trump déclare qu'Anthropic représente un risque pour la chaîne d'approvisionnementControverse

Technologie

Trump a déclaré Anthropic « risque pour la chaîne d’approvisionnement » pour avoir de l’éthique

Le secrétaire à la Défense Pete Hegseth a appliqué en février à Anthropic la même classification généralement utilisée pour les entreprises ayant des liens avec des adversaires étrangers. Le crime d'Anthropic : refuser de supprimer les garde-fous qui empêchaient son utilisation dans la surveillance de masse et dans les armes autonomes sans surveillance humaine.

·5 min de lecture
Huit géants de la technologie opèrent sur des réseaux militaires classés IL6/IL7Controverse

Technologie

GOOGLE, MICROSOFT, SPACEX ET NVIDIA OPÉRENT DÉJÀ AU SEIN DES RÉSEAUX MILITAIRES CLASSIFIÉS AMÉRICAINS

Le 1er mai 2026, le Pentagone a officialisé ce qui avait duré des mois : huit des entreprises technologiques les plus puissantes au monde déploient leur IA dans les systèmes militaires les plus performants des États-Unis. Ce que cela signifie pour l’avenir de la technologie civile est une question à laquelle personne ne répond assez clairement.

·4 min de lecture