Le laboratoire d’IA Anthropic a récemment secoué le monde de la tech en annonçant la création de Claude Mythos, un modèle de raisonnement tellement puissant en cybersécurité qu’il a été jugé trop dangereux pour être commercialisé publiquement. Intégrée au programme très restreint Project Glasswing, cette IA a été confiée à une poignée de géants de l’infrastructure pour être testée en conditions réelles.
Parmi eux, les équipes de sécurité de Cloudflare ont passé plusieurs semaines à confronter Claude Mythos à plus de 50 de leurs propres dépôts (repositories) de production. Le bilan de l’expérience se résume en trois mots : beaucoup de temps, d’efforts et d’argent. Voici ce qu’ils ont appris sur le futur de la cyberdéfense autonome.
Un saut technique vertigineux : Du simple scanner à l’expert autonome
La différence majeure entre Claude Mythos et les outils traditionnels de détection de failles (ou même les modèles précédents comme Claude Opus 4.6) réside dans sa capacité de raisonnement et d’autonomie. Là où un scanner classique lève des alertes isolées qu’un humain doit trier, Mythos prend l’initiative.
L’IA est capable d’analyser une base de code complexe, de repérer des vulnérabilités de bas niveau (comme des failles de gestion mémoire) et, surtout, de concevoir des chaînes d’exploitation (exploit chains). Elle combine plusieurs petites anomalies insignifiantes pour générer une preuve de concept (PoC) fonctionnelle prouvant que le système peut être corrompu.
Le bilan des tests chez Cloudflare : Des chiffres préoccupants
En analysant une cinquantaine de dépôts de code de l’infrastructure de Cloudflare, Claude Mythos a mis en lumière des vulnérabilités critiques, dont certaines étaient enfouies depuis des années (des « bugs fossiles ») :
- 595 crashs provoqués et documentés de manière autonome.
- 10 détournements du flux de contrôle (control-flow hijacks) réussis sur du code C/C++.
- La découverte de vulnérabilités inédites cachées au cœur de modules de sécurité complexes.
Pour mesurer le fossé technique, Cloudflare a comparé ces résultats avec Claude Opus 4.6 sur un autre cas d’école : là où Opus n’a réussi à construire que 2 chaînes d’exploitation fonctionnelles sur un moteur JavaScript, Mythos en a généré 181.
L’avertissement de Cloudflare : Le paradigme des patchs est obsolète
Si la découverte et la correction de ces failles représentent une excellente opportunité défensive pour Cloudflare, l’entreprise tire la sonnette d’alarme pour l’ensemble de l’écosystème IT. Les capacités offensives de ces IA vont inévitablement s’accélérer et se démocratiser.
Face à une IA capable de découvrir et d’exploiter des failles en quelques minutes à peine, la réponse traditionnelle des entreprises — qui consiste à attendre un rapport de bug pour appliquer un correctif (patch) — devient obsolète. Le temps de réaction humain est tout simplement trop lent.
Ce que cela change pour les équipes sécurité et les CISO
Pour Cloudflare, cette expérience démontre que l’architecture même de la sécurité logicielle doit évoluer. Les responsables de la sécurité des systèmes d’information (CISO) doivent anticiper ce tournant cyber :
- Durcir les fondamentaux : La transition vers des langages dotés d’une sécurité mémoire native (comme Rust) devient urgente pour éliminer les failles C/C++ dont les IA raffolent.
- Automatiser la défense : Déployer des outils d’analyse basés sur l’IA capables de monitorer, détecter et mitiger les menaces en temps réel, à la même vitesse que l’attaquant.
- Réduire la surface d’attaque : Éliminer activement les services obsolètes ou non utilisés pour ne laisser aucune prise aux processus de reconnaissance automatisés.
Retrouvez l’analyse complète de cette expérimentation sur l’article d’origine de Numerama Cyberguerre.
Laisser un commentaire