{"id":90159,"date":"2026-04-29T07:42:12","date_gmt":"2026-04-29T07:42:12","guid":{"rendered":"https:\/\/www.europesays.com\/be-fr\/90159\/"},"modified":"2026-04-29T07:42:12","modified_gmt":"2026-04-29T07:42:12","slug":"faut-il-craindre-mythos-oui-tout-de-meme-quand-on-lit-lunique-rapport-produit-par-anthropic","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/be-fr\/90159\/","title":{"rendered":"Faut-il craindre Mythos (oui, tout de m\u00eame, quand on lit l&rsquo;unique rapport produit par Anthropic)"},"content":{"rendered":"<p>Zero-Day<\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">Les chercheurs ont test\u00e9 Mythos sur sa capacit\u00e9 \u00e0 trouver des failles <a href=\"https:\/\/www.fortinet.com\/fr\/resources\/cyberglossary\/zero-day-attack\" target=\"_self\" rel=\"nofollow noopener\">zero-day<\/a>, le cauchemar, c&rsquo;est-\u00e0-dire inconnues jusqu&rsquo;alors, afin de v\u00e9rifier qu&rsquo;il ne se contente pas de reproduire ce qu&rsquo;il a appris pendant sa phase d&rsquo;entra\u00eenement. Et de fait, Mythos explore le code seul, cherche d&rsquo;\u00e9ventuels bugs, les confirme en ex\u00e9cutant le programme de fa\u00e7on \u00e0 tester le bug, puis produit un rapport de faille avec des \u00e9tapes pour le reproduire et une d\u00e9monstration d&rsquo;exploitation possible. Le rapport de Mythos est r\u00e9inject\u00e9 dans Mythos comme s&rsquo;il venait d&rsquo;un expert pour s&rsquo;auto-juger et ne conserver que les vuln\u00e9rabilit\u00e9s r\u00e9ellement s\u00e9rieuses, \u00e0 l&rsquo;exclusion des cas trop marginaux.<\/p>\n<p><a href=\"https:\/\/www.lalibre.be\/economie\/entreprises-startup\/2026\/04\/24\/votre-argent-est-il-en-securite-a-la-banque-depuis-larrivee-de-mythos-cest-une-nouvelle-menace-un-etat-de-siege-permanent-WUCUUZJZCZBABJDY4GBY4GZ7EM\/\" target=\"_self\" class=\"ap-StoryInterstitialLink ap-StoryElement ap-StoryElement--mb\" rel=\"nofollow noopener\">Votre argent est-il en s\u00e9curit\u00e9 \u00e0 la banque depuis l&rsquo;arriv\u00e9e de Mythos ? \u00ab\u00a0C&rsquo;est une nouvelle menace, dans un \u00e9tat de si\u00e8ge permanent\u00a0\u00bb<\/a><\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">H\u00e9las, les r\u00e9sultats ne sont pas bons : Mythos aurait identifi\u00e9 plusieurs milliers de failles suppl\u00e9mentaires, de gravit\u00e9 \u00e9lev\u00e9e ou critique, qui ont \u00e9t\u00e9 transmises \u00e0 ceux qui maintiennent les projets open source et aux \u00e9diteurs de logiciels. Avant tout envoi, chaque rapport a \u00e9t\u00e9 relu par des experts en s\u00e9curit\u00e9, qui ont confirm\u00e9 la s\u00e9v\u00e9rit\u00e9 annonc\u00e9e dans l&rsquo;immense majorit\u00e9 des cas : sur 198 rapports examin\u00e9s, l&rsquo;accord \u00e9tait complet dans 89 % des cas, et pour le reste, le niveau de gravit\u00e9 diff\u00e9rait d&rsquo;un seul niveau.<\/p>\n<p>Exploitation des zero-day<\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">Une vuln\u00e9rabilit\u00e9 dans un logiciel ne constitue, en elle-m\u00eame, qu&rsquo;une faiblesse potentielle. Mais permet-elle \u00e0 un attaquant d&rsquo;exploiter une faille comme obtenir un acc\u00e8s non autoris\u00e9 \u00e0 un syst\u00e8me cible ? M\u00eame si les chercheurs se disent oblig\u00e9s de rester discret, ils citent quelques exemples de faiblesses comme la perturbation de la mani\u00e8re dont les navigateurs web ex\u00e9cutent \u00e0 la vol\u00e9e les instructions javascript qui leur sont envoy\u00e9es.<\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">Dans les applications web que ces navigateurs consultent, il trouverait des contournements d&rsquo;authentification, comme un acc\u00e8s admin sans mot de passe et dans des biblioth\u00e8ques cryptographiques comme TLS, AES-GCM ou SSH (diff\u00e9rents \u00e9l\u00e9ments de chiffrement, NdlR), il rep\u00e9rerait des erreurs d&rsquo;impl\u00e9mentation. Il se distinguerait surtout par sa capacit\u00e9 \u00e0 comprendre les erreurs logiques : non pas des erreurs de codage de d\u00e9butant, mais des \u00e9carts entre ce que le code fait et ce qu&rsquo;il devrait faire selon le mod\u00e8le de s\u00e9curit\u00e9 initial.<\/p>\n<p>Transformer des failles N-day en exploits<\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">L\u00e0 o\u00f9 Mythos est tr\u00e8s bon, c&rsquo;est visiblement sa capacit\u00e9 \u00e0 exploiter des vuln\u00e9rabilit\u00e9s. Mythos ne s&rsquo;est pas attaqu\u00e9 aux 0-days (ce serait jouer avec le feu) mais aux failles d\u00e9j\u00e0 connues avec un correctif \u00e0 la cl\u00e9. Les chercheurs ont donn\u00e9 \u00e0 Mythos une consigne initiale et l&rsquo;ont laiss\u00e9 faire. Ils ont d&rsquo;abord soumis au mod\u00e8le 100 vuln\u00e9rabilit\u00e9s en 2024 et 2025, puis lui ont demand\u00e9 de ne garder que les plus exploitables ; 40 ont \u00e9t\u00e9 retenues. Pour chacune, Mythos devait ensuite produire un exploit d&rsquo;\u00e9l\u00e9vation de privil\u00e8ges, \u00e9ventuellement en combinant plusieurs failles. Plus de la moiti\u00e9 des essais ont r\u00e9ussi.<\/p>\n<p>Conseils pour les d\u00e9fenseurs aujourd&rsquo;hui<\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">Faut-il pleurer ? Les chercheurs sont plut\u00f4t combatifs : si Mythos n&rsquo;est pas encore disponible, les entreprises doivent utiliser d\u00e8s maintenant les mod\u00e8les de pointe qui le pr\u00e9c\u00e8dent pour renforcer leurs d\u00e9fenses, car ils restent tr\u00e8s efficaces pour d\u00e9tecter des vuln\u00e9rabilit\u00e9s. Mythos ne fait qu&rsquo;\u00eatre tr\u00e8s bon pour les exploiter. Il suffit de ne pas cr\u00e9er de vuln\u00e9rabilit\u00e9s ou de corriger celles qui n&rsquo;ont pas \u00e9t\u00e9 encore trouv\u00e9es.<\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">Les mod\u00e8les de pointe peuvent aller au-del\u00e0 de juste trouver des vuln\u00e9rabilit\u00e9s, disent les chercheurs, et all\u00e9ger de nombreuses t\u00e2ches de s\u00e9curit\u00e9 qui reposent encore sur un tri des alertes, des rapports de vuln\u00e9rabilit\u00e9, des jugements en dernier recours.<\/p>\n<p><a href=\"https:\/\/www.lalibre.be\/economie\/entreprises-startup\/2026\/03\/03\/lia-trop-de-gauche-et-trop-woke-interdite-au-pentagone-mais-qui-a-aide-les-americains-a-frapper-liran-ONMVGDGQQ5HB7JL6Z3BF4TI2ZE\/\" target=\"_self\" class=\"ap-StoryInterstitialLink ap-StoryElement ap-StoryElement--mb\" rel=\"nofollow noopener\">\u00ab\u00a0Ces extr\u00e9mistes de gauche ont commis une erreur catastrophique\u00a0\u00bb : l&rsquo;IA Anthropic, d\u00e9test\u00e9e par Trump mais tout de m\u00eame utilis\u00e9e pour frapper l&rsquo;Iran<\/a><\/p>\n<p class=\"ap-StoryElement ap-StoryElement--mb ap-StoryText\">La communaut\u00e9 de s\u00e9curit\u00e9 va vivre des moments difficiles : d\u00e8s que Mythos sera public, on va trouver toutes les vuln\u00e9rabilit\u00e9s qui \u00e9taient rest\u00e9es cach\u00e9es (les \u00ab\u00a0unknown unknowns\u00a0\u00bb). Il n&rsquo;y a pas de raison de paniquer mais le signal est tr\u00e8s s\u00e9rieux. Le vrai changement, ce sera la vitesse et la facilit\u00e9 d&rsquo;exploitation des vuln\u00e9rabilit\u00e9s existantes (fini la p\u00e9riode de gr\u00e2ce entre les deux, le temps d&rsquo;attente entre la d\u00e9tection et l&rsquo;exploitation) et le niveau technique de plus en plus bas requis pour lancer des attaques sophistiqu\u00e9es. Viser une pr\u00e9vention absolue deviendra un leurre : tout reposera sur les capacit\u00e9s de d\u00e9tection et de r\u00e9ponse. C&rsquo;est le temps du VulnOps, l&rsquo;op\u00e9rationnalisation des vuln\u00e9rabilit\u00e9s.<\/p>\n","protected":false},"excerpt":{"rendered":"Zero-Day Les chercheurs ont test\u00e9 Mythos sur sa capacit\u00e9 \u00e0 trouver des failles zero-day, le cauchemar, c&rsquo;est-\u00e0-dire inconnues&hellip;\n","protected":false},"author":2,"featured_media":90160,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[70],"tags":[7085,33483,33484,12,13,18,17,73,71,75,72,76,74],"class_list":{"0":"post-90159","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-ai","9":"tag-artificial-intelligence","10":"tag-artificial-intelligenceai","11":"tag-be","12":"tag-be-fr","13":"tag-belgique","14":"tag-belgium","15":"tag-science","16":"tag-science-and-technology","17":"tag-sciences","18":"tag-sciences-et-technologies","19":"tag-technologies","20":"tag-technology"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@be_fr\/116486874621739468","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/90159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/comments?post=90159"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/90159\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media\/90160"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media?parent=90159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/categories?post=90159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/tags?post=90159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}