Le secteur de la cybersécurité est actuellement aux prises avec l’émergence de Mythos, un puissant modèle d’IA développé par Anthropic qui possède une étrange capacité à identifier les vulnérabilités logicielles. Bien que son existence ait été accidentellement divulguée en raison d’une page Web non sécurisée, les implications d’un tel outil sont profondes, suscitant un débat sur la question de savoir si l’IA représente une menace catastrophique ou un nouveau bouclier vital pour la défense numérique.
La découverte d’un “passe-partout” numérique
Mythe n’était pas destiné à la consommation publique. Selon Anthropic, le modèle a développé une capacité accidentelle mais très sophistiquée : la capacité de découvrir des failles critiques dans pratiquement n’importe quel logiciel, permettant potentiellement aux utilisateurs de contourner les protocoles de sécurité.
L’ampleur de ses capacités est significative. Anthropic rapporte que Mythos a identifié des milliers de vulnérabilités de gravité élevée et critique sur divers systèmes d’exploitation. Ce niveau d’efficacité soulève une question fondamentale à l’ère numérique : Que se passe-t-il lorsqu’une machine peut accomplir en quelques secondes ce qu’un hacker humain expérimenté mettrait des mois à accomplir ?
Accès contrôlé vs risques non contrôlés
Pour atténuer le risque d’utilisation abusive, Anthropic a mis en œuvre une stratégie d’exposition contrôlée via le Projet Glasswing. Plutôt que de rendre l’outil public, ils ont accordé l’accès à un groupe sélectionné de leaders de l’industrie, notamment :
– Géants de la technologie : Apple, Google, Microsoft et NVIDIA
– Fournisseurs cloud : Amazon Web Services (AWS)
– Institutions financières : JPMorganChase
L’objectif est de permettre à ces organisations d’utiliser Mythos pour « tester » leurs propres systèmes, en trouvant et en corrigeant les bogues avant que des acteurs malveillants ne puissent les exploiter.
Cependant, la sécurité de ce déploiement contrôlé a déjà été testée. Des utilisateurs non autorisés sur des forums privés ont réussi à accéder à l’essai en faisant des « suppositions éclairées » sur l’emplacement d’hébergement du modèle – une faille de sécurité que beaucoup trouvent ironique compte tenu de l’objectif de l’outil.
La menace est-elle exagérée ?
Malgré les gros titres alarmants, les experts sont divisés sur la question de savoir si le Mythe représente une « menace civilisationnelle » immédiate.
Les arguments en faveur de la prudence
L’AI Security Institute (AISI) note que même si Mythos constitue une avancée significative par rapport aux modèles précédents, son succès actuel se limite en grande partie à l’attaque de « petits systèmes d’entreprise faiblement défendus et vulnérables ». Rien ne prouve encore qu’il puisse pénétrer dans des réseaux modernes et hautement sécurisés.
Les arguments en faveur du pragmatisme
Les chercheurs en sécurité, tels que Bobby Holley de Firefox, suggèrent que même si Mythos est incroyablement efficace, il n’est pas nécessairement « plus intelligent » que les humains. Lors des tests, Mythos a identifié 271 vulnérabilités dans le navigateur Firefox, mais aucune n’était si complexe qu’un chercheur humain d’élite n’aurait pas pu les trouver.
Le véritable changement ne réside pas dans le type de bugs trouvés, mais dans la vitesse et l’échelle :
– Efficacité : L’IA est implacable et minutieuse, trouvant des défauts que les humains manquent tout simplement en raison de la fatigue ou des contraintes de temps.
– L’avantage de Defender : Si les développeurs de logiciels utilisent Mythos pour auditer leur propre code avant sa publication, ils peuvent efficacement « nettoyer » leurs logiciels des vulnérabilités, conduisant potentiellement à un monde où tous les défauts connus sont identifiés et corrigés.
La dernière fenêtre d’opportunité
L’émergence de Mythos met en évidence un changement de paradigme en matière de cybersécurité. Nous entrons dans une ère de guerre automatisée, où les attaquants et les défenseurs utilisent l’IA pour augmenter leur agilité.
Bien que l’outil aide actuellement davantage les défenseurs que les attaquants, le paysage évolue rapidement. Les experts préviennent que d’ici 18 mois, des capacités similaires tomberont probablement entre les mains d’adversaires malveillants.
“La fenêtre pour anticiper cette situation est ouverte, mais elle se referme rapidement.” — Kevin Curran, Université d’Ulster
Conclusion
Mythos sert de preuve de concept à enjeux élevés : l’IA accélère rapidement le cycle de découverte de vulnérabilités. Bien qu’il offre un nouveau moyen puissant de sécuriser les logiciels, il fournit simultanément un modèle pour des cyberattaques beaucoup plus rapides et plus efficaces.
