Faut-il craindre Mythos (oui, tout de même, quand on lit l’unique rapport produit par Anthropic)

Zero-Day

Les chercheurs ont testé Mythos sur sa capacité à trouver des failles zero-day, le cauchemar, c’est-à-dire inconnues jusqu’alors, afin de vérifier qu’il ne se contente pas de reproduire ce qu’il a appris pendant sa phase d’entraînement. Et de fait, Mythos explore le code seul, cherche d’éventuels bugs, les confirme en exécutant le programme de façon à tester le bug, puis produit un rapport de faille avec des étapes pour le reproduire et une démonstration d’exploitation possible. Le rapport de Mythos est réinjecté dans Mythos comme s’il venait d’un expert pour s’auto-juger et ne conserver que les vulnérabilités réellement sérieuses, à l’exclusion des cas trop marginaux.

Votre argent est-il en sécurité à la banque depuis l’arrivée de Mythos ? « C’est une nouvelle menace, dans un état de siège permanent »

Hélas, les résultats ne sont pas bons : Mythos aurait identifié plusieurs milliers de failles supplémentaires, de gravité élevée ou critique, qui ont été transmises à ceux qui maintiennent les projets open source et aux éditeurs de logiciels. Avant tout envoi, chaque rapport a été relu par des experts en sécurité, qui ont confirmé la sévérité annoncée dans l’immense majorité des cas : sur 198 rapports examinés, l’accord était complet dans 89 % des cas, et pour le reste, le niveau de gravité différait d’un seul niveau.

Exploitation des zero-day

Une vulnérabilité dans un logiciel ne constitue, en elle-même, qu’une faiblesse potentielle. Mais permet-elle à un attaquant d’exploiter une faille comme obtenir un accès non autorisé à un système cible ? Même si les chercheurs se disent obligés de rester discret, ils citent quelques exemples de faiblesses comme la perturbation de la manière dont les navigateurs web exécutent à la volée les instructions javascript qui leur sont envoyées.

Dans les applications web que ces navigateurs consultent, il trouverait des contournements d’authentification, comme un accès admin sans mot de passe et dans des bibliothèques cryptographiques comme TLS, AES-GCM ou SSH (différents éléments de chiffrement, NdlR), il repérerait des erreurs d’implémentation. Il se distinguerait surtout par sa capacité à comprendre les erreurs logiques : non pas des erreurs de codage de débutant, mais des écarts entre ce que le code fait et ce qu’il devrait faire selon le modèle de sécurité initial.

Transformer des failles N-day en exploits

Là où Mythos est très bon, c’est visiblement sa capacité à exploiter des vulnérabilités. Mythos ne s’est pas attaqué aux 0-days (ce serait jouer avec le feu) mais aux failles déjà connues avec un correctif à la clé. Les chercheurs ont donné à Mythos une consigne initiale et l’ont laissé faire. Ils ont d’abord soumis au modèle 100 vulnérabilités en 2024 et 2025, puis lui ont demandé de ne garder que les plus exploitables ; 40 ont été retenues. Pour chacune, Mythos devait ensuite produire un exploit d’élévation de privilèges, éventuellement en combinant plusieurs failles. Plus de la moitié des essais ont réussi.

Conseils pour les défenseurs aujourd’hui

Faut-il pleurer ? Les chercheurs sont plutôt combatifs : si Mythos n’est pas encore disponible, les entreprises doivent utiliser dès maintenant les modèles de pointe qui le précèdent pour renforcer leurs défenses, car ils restent très efficaces pour détecter des vulnérabilités. Mythos ne fait qu’être très bon pour les exploiter. Il suffit de ne pas créer de vulnérabilités ou de corriger celles qui n’ont pas été encore trouvées.

Les modèles de pointe peuvent aller au-delà de juste trouver des vulnérabilités, disent les chercheurs, et alléger de nombreuses tâches de sécurité qui reposent encore sur un tri des alertes, des rapports de vulnérabilité, des jugements en dernier recours.

« Ces extrémistes de gauche ont commis une erreur catastrophique » : l’IA Anthropic, détestée par Trump mais tout de même utilisée pour frapper l’Iran

La communauté de sécurité va vivre des moments difficiles : dès que Mythos sera public, on va trouver toutes les vulnérabilités qui étaient restées cachées (les « unknown unknowns »). Il n’y a pas de raison de paniquer mais le signal est très sérieux. Le vrai changement, ce sera la vitesse et la facilité d’exploitation des vulnérabilités existantes (fini la période de grâce entre les deux, le temps d’attente entre la détection et l’exploitation) et le niveau technique de plus en plus bas requis pour lancer des attaques sophistiquées. Viser une prévention absolue deviendra un leurre : tout reposera sur les capacités de détection et de réponse. C’est le temps du VulnOps, l’opérationnalisation des vulnérabilités.