Le modèle Claude Mythos Preview d'Anthropic peut désormais découvrir et exploiter des failles de sécurité de manière autonome. Une capacité inédite qui inquiète le secteur financier et redéfinit l'équilibre cybersécuritaire pour les entreprises franç…
© L'entreprise Intelligente
Le modèle Claude Mythos Preview d'Anthropic peut désormais découvrir et exploiter des failles de sécurité de manière autonome. Une capacité inédite qui inquiète le secteur financier et redéfinit l'équilibre cybersécuritaire pour les entreprises françaises.
Une percée technologique aux implications majeures
L'intelligence artificielle vient de franchir un nouveau seuil critique. Selon IEEE Spectrum (États-Unis), Anthropic a annoncé que son nouveau modèle Claude Mythos Preview peut «autonomement découvrir et transformer en exploits fonctionnels des vulnérabilités logicielles, sans guidance d'expert». Ces failles concernent des systèmes critiques comme les systèmes d'exploitation et l'infrastructure internet.
Les tests indépendants confirment cette capacité révolutionnaire. Selon The Conversation (International), l'AI Security Institute britannique a testé Mythos Preview sur le benchmark «The Last Ones», considéré comme l'épreuve ultime pour valider l'autonomie complète d'une IA dans les cyber-attaques. Le modèle a «autonomement découvert des milliers de vulnérabilités «zero day» - des failles inconnues même des développeurs des logiciels - sur tous les principaux systèmes d'exploitation et navigateurs web».
Certaines de ces failles étaient présentes depuis 27 ans, échappant aux millions de vérifications humaines effectuées sur ces codes sources.
Le secteur financier en première ligne
Cette avancée inquiète particulièrement le secteur bancaire. Selon The Conversation (International), «le secteur financier est alarmé» car il «dépend de systèmes numériques hautement interconnectés qui sont des cibles particulièrement attractives pour les cyber-attaques sophistiquées».
Face à cette menace, les «principales banques britanniques et américaines préparent des essais contrôlés sous strictes mesures de sécurité». Ces institutions obtiendront un accès sécurisé et supervisé au modèle Mythos Preview dans des environnements isolés, pour évaluer sa capacité à détecter les vulnérabilités de leurs systèmes.
Cette approche rappelle les protocoles utilisés dans les laboratoires de haute sécurité pour étudier les virus dangereux - une analogie qui souligne la gravité potentielle de cette technologie.
Performance supérieure à l'expertise humaine
Les chiffres parlent d'eux-mêmes. Selon The Conversation (International), là où «un opérateur humain qualifié aurait typiquement besoin d'environ 20 heures pour compléter l'exercice», Mythos Preview a réussi «l'intégralité de la chaîne d'attaque de bout en bout» dans trois des dix tests indépendants réalisés.
Cette performance marque selon les experts un «véritable chaînage autonome d'actions séquentielles complexes», démontrant la capacité de l'IA à «planifier et exécuter des tâches complexes et multi-étapes sur des périodes étendues avec une intervention humaine minimale».
Un équilibre offense-défense à redéfinir
Contrairement aux craintes d'une asymétrie permanente entre attaque et défense, les experts d'IEEE Spectrum (États-Unis) nuancent : «Nous ne croyons pas qu'une IA capable de pirater de manière autonome créera une asymétrie permanente entre offense et défense ; c'est susceptible d'être plus nuancé que cela».
Trois catégories de vulnérabilités émergent : celles qui peuvent être trouvées, vérifiées et corrigées automatiquement ; celles difficiles à trouver mais faciles à corriger (comme les applications web standard) ; et enfin celles faciles à identifier mais impossibles à corriger, notamment dans les objets connectés et équipements industriels rarement mis à jour.
Implications pour les PME françaises
Pour les dirigeants de PME et ETI françaises, cette évolution impose une révision stratégique de leur cybersécurité. La capacité d'automatisation de Mythos Preview s'étend bien au-delà des cyber-attaques, pouvant selon The Conversation (International) «bientôt permettre à l'IA de gérer de manière autonome le développement logiciel, la recherche scientifique, les chaînes d'approvisionnement ou les finances».
Recommandations concrètes : Les entreprises françaises doivent prioritairement auditer leurs systèmes critiques, particulièrement les équipements industriels et IoT difficiles à mettre à jour. La CNIL recommande déjà d'intégrer l'IA dans les stratégies de conformité RGPD, et cette évolution renforce l'urgence d'une approche proactive.
Les OPCO devraient également intégrer ces nouvelles réalités dans leurs programmes de formation cybersécuritié, tandis que BPI France pourrait accompagner les PME dans l'adoption d'outils de détection automatisée des vulnérabilités.
L'AI Act européen, entré en vigueur, encadre déjà ces technologies à haut risque. Les entreprises françaises ont l'opportunité de transformer cette contrainte réglementaire en avantage concurrentiel en adoptant rapidement ces nouvelles capacités défensives.
Sources : IEEE Spectrum (États-Unis), The Conversation (International).