vous faire peur avec la cybersécurité

vous faire peur avec la cybersécurité

ParSteven de Simseo

Claude Mythos Preview a bouleversé le segment de l’IA. Le nouveau modèle d’Anthropic est si puissant que ses créateurs ont préféré ne pas le rendre public. Dans leur annonce officielle, ils l’ont déjà dit clairement : il est capable de trouver des failles de sécurité qui semblaient presque impossibles à trouver, et cela a permis à Anthropic de lancer un message inquiétant : si vous voulez que votre système soit vraiment sécurisé, vous aurez besoin de Mythos pour le garantir.

Du vibecoding à la cybersécurité. Cela a provoqué une vague d’intérêt pour un modèle qui n’est plus bon parce qu’il programme mieux : il est bon parce qu’il met (théoriquement) votre application ou votre service à l’abri des cyberattaquants. Cela est particulièrement crucial à notre époque, et les premiers à tenter de couvrir leurs arrières sont les gouvernements et les institutions financières. Pour l’instant, seuls quelques-uns ont accès à Mythos et, par exemple, la Banque centrale européenne prépare déjà des plans d’urgence. Avant, l’IA nous conquérait avec le vibecoding. Maintenant, il va nous conquérir en économisant nos économies.

OpenAI ne bouge pas une seule puce… Le discours d’Anthropic a été si puissant qu’OpenAI n’a pas voulu être laissé pour compte. Dès le lancement de son dernier modèle, GPT-5.5, il y a quelques jours, il avait déjà mentionné qu’il disposait d’une variante appelée GPT-5.5-Cyber ​​​​spécialement destinée à l’analyse de la cybersécurité. Ici, l’entreprise dirigée par Sam Altman a voulu transformer son modèle en une option plus accessible pour tous les types d’organisations et d’entreprises, et a ouvert un programme d’accès certifié, ce qu’Anthropic ne semble pas avoir. Altman lui-même avait décrit la décision d’Anthropic comme une manœuvre marketing… et avait ensuite fini par copier cette même stratégie de peur.

…mais deux. Non content de cette décision, OpenAI a lancé Daybreak hier après-midi. Il ne s’agit pas d’un nouveau modèle d’IA qui concurrence Mythos, mais plutôt d’une initiative de cybersécurité qui combine des modèles d’IA tels que GPT-5.5-Cyber ​​​​avec l’agent spécialisé dans ce domaine, Codex Security. OpenAI a restreint l’accès de la même manière qu’Anthropic avec Mythos, mais vous permet de demander une analyse de sécurité en plus de contacter leur équipe commerciale.

Plusieurs organisations y ont déjà accès (Akamai, Cisco, Cloudflare ou Oracle, entre autres), mais il est ironique qu’Altman ait une fois de plus critiqué son rival et ensuite copié ses idées non pas une, mais deux fois. Après tout, il s’agit d’une stratégie marketing visant à vendre ses solutions d’IA axées sur la cybersécurité.

Google ne sera pas moins. Un rapport du Google Threat Intelligence Group (GTIG) a encore encouragé cette affaire hier. Les experts en cybersécurité de l’entreprise ont expliqué comment ils avaient réussi à détecter puis à stopper un exploit entièrement développé avec l’IA. Dans ce cas, Google n’a annoncé aucun modèle ou initiative rivalisant avec ceux de ses concurrents, mais cela ajoute à un message de plus en plus fréquent : l’IA va être la prochaine grande menace pour la cybersécurité.

Le délai de 90 jours ne perd pas son sens. Certains experts en cybersécurité mettent déjà en garde contre les implications de tout ce phénomène. Himanshu Anand a expliqué cette semaine à quel point ce qui commence à n’avoir aucun sens est la politique bien connue de divulgation des 90 jours. Selon elle, lorsque quelqu’un découvre une vulnérabilité dans une application, le développeur de l’application doit disposer d’une marge de 90 jours pour créer et distribuer le correctif. Comme il l’a expliqué, « Lorsque dix chercheurs qui ne se connaissent pas trouvent le même bug en six semaines et que l’IA est capable de le transformer en un exploit fonctionnel en 30 minutes, qui exactement cette période de 90 jours protège-t-elle ? Personne. »

Le mythe n’est pas parfait. Et tandis que les grands acteurs du segment gagnent des positions, Mythos a montré que ce n’était pas parfait. Le développeur du célèbre outil curl, Daniel Stenberg, a également raconté cette semaine comment il avait pu utiliser Mythos pour analyser son code source. Curl, programmé en C, compte 176 000 lignes de code et 660 000 mots, soit 12 % de plus que l’édition anglaise du roman « Guerre et Paix ». Il s’agit d’un projet extrêmement mature et très bien géré, et il était donc particulièrement intéressant de voir si Mythos parviendrait à trouver de nombreuses failles de sécurité.

Un travailleur d'Anthropic prenait une collation lorsqu'il a reçu un email qu'il n'aurait jamais dû recevoir : c'était Mythos

Et ce n’est peut-être pas si grave. Le modèle d’Anthropic prétendait avoir trouvé cinq failles de sécurité confirmées, mais après analyse avec son équipe, Stenberg a clairement indiqué qu’il n’en avait en réalité trouvé qu’une. Et un de « faible gravité » pas trop dangereux. Parmi les autres, trois étaient des faux positifs et le quatrième était un « bug » sans importance, et non une faille de sécurité. Pour Stenberg, Mythos ne semble pas beaucoup plus avancé que d’autres outils de ce type qu’il a utilisés dans le passé : « ce modèle est peut-être un peu meilleur, mais même s’il l’est, il n’est pas meilleur à un degré qui pourrait avoir un grand impact sur l’analyse du code ». Ce développeur a néanmoins fait l’éloge des nouveaux outils d’IA pour l’analyse du code, qui, selon lui, sont nettement meilleurs que les outils traditionnels pour cette tâche.

À Simseo | Le battage médiatique autour de Claude Mythos commence à se justifier : Firefox a trouvé et corrigé plus de failles de sécurité en un mois qu’au cours des 15 mois précédents

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.