198 rapports de failles. 89 % confirmés par des experts indépendants. Et un modèle capable non seulement de trouver les vulnérabilités, mais de les exploiter.
Attendez. On reprend.
Ce que Mythos change — vraiment
Anthropic vient de lever le voile sur Mythos, son nouveau modèle de langage taillé pour la cybersécurité. Et là, on ne parle pas d’un énième chatbot qui vous pond des résumés de rapports ANSSI. On parle d’une IA qui reçoit un programme, le dissèque, formule des hypothèses de failles, les teste, recommence si nécessaire, et — c’est là que ça devient sérieux — produit un exploit fonctionnel.
Vous savez quoi ? Son prédécesseur, Opus 4.6, savait déjà détecter des failles. Plutôt bien, d’ailleurs. Mais il s’arrêtait là. Mythos, lui, franchit la ligne : il transforme la faille en arme. Il crée le mode d’emploi pour l’exploiter. De bout en bout, sans intervention humaine.
Et ce n’est pas du code open source basique. Mythos s’attaque à du propriétaire. Il déduit les lignes de code probables à partir du programme compilé, puis cherche les faiblesses. Brutal.
Le détail qui fait froid dans le dos
Le plus impressionnant — et le plus inquiétant — c’est la boucle d’auto-validation. Mythos produit un rapport de vulnérabilité, puis se le renvoie à lui-même en se demandant : « Est-ce que cette faille est réellement grave ? » Il fait son propre tri entre les bugs mineurs et les failles critiques susceptibles de toucher des millions d’utilisateurs.
Résultat : plusieurs milliers de vulnérabilités élevées ou critiques découvertes et signalées. Des failles zero-day — c’est-à-dire des failles que personne ne connaissait avant.
Aïe.
Les chercheurs d’Anthropic ont fait valider chaque rapport par des experts indépendants avant envoi. Sur 198 rapports examinés, accord sur le niveau de gravité dans 89 % des cas. Pour le reste, l’écart n’était que d’un seul niveau.
Navigateurs, authentification, chiffrement : la totale
Rentrons dans le concret. Mythos a déjoué les protections JIT des navigateurs web — ces compilateurs qui génèrent du code machine à la volée quand vous surfez. Pour faire simple : le mécanisme même qui rend votre navigateur plus qu’un simple afficheur de pages, Mythos sait le contourner.
Côté applications web, c’est un festival :
- Des failles d’authentification permettant à des utilisateurs lambda de s’octroyer des droits administrateur
- Des contournements de connexion sans mot de passe ni double authentification
- Des attaques par déni de service permettant de supprimer des données à distance
Et non. Ce ne sont pas des bugs de programmation basiques. Ce sont des erreurs logiques — un écart entre ce que le code fait réellement et ce qu’il devrait faire selon les spécifications de sécurité. Le genre de faille que seuls les meilleurs pentesteurs du monde trouvent. En tout cas, trouvaient.
Mythos a aussi identifié des faiblesses dans les bibliothèques cryptographiques les plus utilisées au monde. TLS, AES-GCM, SSH. Les protocoles qui protègent vos communications bancaires, vos emails, vos connexions serveur. Attention : ce ne sont pas les algorithmes eux-mêmes qui sont en cause, mais certaines implémentations. Nuance capitale. Mais le résultat est le même : un attaquant pourrait falsifier des certificats ou déchiffrer des communications chiffrées.
C’est énorme.
Les failles N-day : le vrai danger du quotidien
Parlons de ce qui fait le plus de dégâts dans la vraie vie. Les failles N-day, ce sont des vulnérabilités connues, corrigées, publiées. Mais exploitables partout où les mises à jour n’ont pas été appliquées.
Faites le calcul. Combien de PME françaises appliquent leurs patchs de sécurité dans les 48 heures ? Combien ont un serveur Linux qui tourne avec un noyau de 2023 ?
Les chercheurs ont soumis à Mythos 100 vulnérabilités de corruption mémoire signalées en 2024-2025 dans le noyau Linux. Le modèle en a retenu 40 comme potentiellement exploitables. Puis il a rédigé les exploits. Plus de la moitié ont fonctionné. Sans aucune intervention humaine. À partir d’une simple consigne.
Mon take personnel : c’est là que le sujet devient brûlant pour mes clients. Les zero-days, c’est le terrain de jeu des agences gouvernementales et des groupes APT. Les N-days, c’est ce qui touche le courtier de Dijon, l’agence immobilière de Lyon, la PME industrielle de Chalon. Parce que ces boîtes-là ne patchent pas assez vite. Et maintenant, fabriquer l’exploit ne nécessite plus un expert chevronné — il suffit d’un prompt.
OK, et on fait quoi maintenant ?
Bon. Faut-il paniquer ? Les chercheurs d’Anthropic sont plutôt clairs : non, mais il faut bouger. Maintenant.
Leur message aux entreprises tient en une phrase : utilisez les modèles de pointe pour renforcer vos défenses avant que d’autres ne les utilisent contre vous. Opus 4.6 — le modèle actuel, disponible — est déjà très performant pour détecter des vulnérabilités. Pas pour les exploiter, certes, mais pour les trouver. C’est déjà ça.
Concrètement, les modèles de langage peuvent aujourd’hui :
- Faire un premier tri des rapports de bugs pour évaluer leur gravité
- Éliminer les doublons dans les rapports de vulnérabilités
- Proposer des ébauches de correctifs
- Analyser des environnements cloud pour repérer les erreurs de configuration
- Accélérer la migration de systèmes obsolètes vers des solutions plus sûres
Je dois avouer que c’est un terrain où l’IA apporte une valeur immédiate et mesurable. Pas besoin de se projeter dans cinq ans. C’est utile aujourd’hui.
Ce que ça change pour vous — oui, VOUS
Soyons raccord. Si vous dirigez une TPE ou une PME, voici ce qui devrait vous empêcher de dormir :
La boîte de Pandore est ouverte. D’autres modèles comme Mythos vont émerger. Chez des concurrents, chez des gouvernements, dans des labos moins scrupuleux qu’Anthropic. Les failles que ces systèmes découvrent existent déjà dans vos logiciels. La seule question, c’est qui les trouve en premier : vous ou quelqu’un qui ne vous veut pas du bien.
L’équilibre de la cybersécurité est en train de basculer. Depuis les années 2000, les attaques et les défenses évoluaient au même rythme. Des modèles capables d’identifier automatiquement des vulnérabilités puis de les transformer en exploits, ça bouleverse la donne. Ce qui nécessitait des années d’expérience en sécurité offensive tient désormais dans un prompt.
L’action à prendre est simple : commencez à intégrer l’IA dans votre audit de sécurité. Pas demain. Pas au prochain budget. Maintenant. Et si vous ne savez pas par où commencer, c’est exactement pour ça qu’on est là.
Chaque semaine, je décrypte ce type d’actualité IA avec un angle pratico-pratique dans ma newsletter. Sans bullshit, juste du concret. Inscrivez-vous ici.
Et si vous voulez qu’on regarde ensemble comment l’IA peut renforcer — et pas fragiliser — votre activité, prenez 30 minutes avec moi. Sans langue de bois. Réservez votre créneau.
Julian — The French Bot