Le directeur technique de l’un des navigateurs web les plus utilisés au monde a récemment ressenti un fort vertige après avoir découvert le nouvel outil Mythos d’Anthropic. Cette plateforme d’intelligence artificielle, décrite comme un « super-hacker » redoutable, a révélé 271 vulnérabilités critiques au sein du navigateur Firefox de Mozilla, dont l’équipe de sécurité n’avait jusqu’ici aucune connaissance.
Dans un article de blog publié cette semaine, Bobby Holley a exprimé que « une seule de ces failles aurait constitué une alerte rouge en 2025 ». Le fait d’en déceler tant à la fois incite à se questionner sur la capacité à faire face à une telle menace.
Selon Anthropic, Mythos aurait identifié des failles dans tous les principaux systèmes d’exploitation et navigateurs du monde, y compris une vulnérabilité passée inaperçue depuis 27 ans. La menace que cet outil représenterait pour l’intégrité d’internet a conduit Anthropic à décider de ne pas le mettre à la disposition du public. L’objectif est de fournir un temps d’avance à ceux qui se protègent contre les cyberattaques, afin qu’ils puissent identifier et corriger les points faibles avant que des acteurs malveillants n’en profitent.
Un groupe restreint de 40 grandes entreprises technologiques et financières, telles que Microsoft, Mozilla et Morgan Stanley, a déjà eu accès à Mythos dans le cadre du projet Glasswing. Le gouvernement britannique discute également avec Anthropic de la possibilité de déployer cet outil auprès des entreprises du pays, par crainte que celles qui n’en disposent ne soient vulnérables.
Dans une lettre publique conjointe, les ministres de la sécurité et de la technologie du Royaume-Uni, Dan Jarvis et Liz Kendall, ont mis en garde sur le fait que « les capacités cybernétiques de l’IA avancent encore plus vite que prévu ». Ils ont également mentionné le programme Cyber d’OpenAI, illustrant une tendance croissante des outils d’IA capables d’effectuer le travail des hackers les plus compétents en un temps record.
Les ministres ont précisé que « les criminels ne cibleront pas uniquement les systèmes gouvernementaux et les infrastructures critiques, mais également des entreprises ordinaires, de toutes tailles et dans tous les secteurs ». Les attaques se dirigeront vers les défenses les plus faibles.
Dans ce contexte, Anthropic reste réticent à offrir un accès large à Mythos, car cela augmenterait le risque qu’il tombe entre de mauvaises mains. Récemment, des rapports ont fait état d’un petit groupe d’utilisateurs non autorisés ayant réussi à accéder à l’outil puissant via un prestataire tiers. Des captures d’écran de cette fuite prétendue ont circulé en ligne, indiquant que ces personnes étaient davantage poussées par la curiosité que par des intentions malveillantes.
L’incident, actuellement sous enquête par Anthropic, souligne que même des outils strictement contrôlés peuvent être détournés et abusés. Shane Fry, directeur technique d’une entreprise de défense cybernétique, a affirmé auprès de The Independent que « même si leur intention est simplement d’explorer, cela montre à quel point ces systèmes peuvent être facilement exposés ». Il a ajouté que « ces capacités d’IA sont déjà là, qu’elles soient ‘piratées’ ou non, et elles vont accélérer la découverte et l’exploitation des vulnérabilités ».
Anthropic continue d’examiner la situation tout en maintenant l’IA dans un mode de prévisualisation restreint pour prévenir une utilisation inappropriée. Malgré ces mesures de sécurité, Camellia Chan, PDG et co-fondatrice d’une société de sécurité en ligne, estime que cela constitue un « avertissement » pour l’ensemble du secteur. Elle a déclaré : « Le fait qu’Anthropic choisisse de ne pas le publier indique tout sur le seuil de capacité que nous avons maintenant franchi. »
Actuellement, plus de 99 % des vulnérabilités identifiées par Mythos restent non corrigées, selon Anthropic. Dans un communiqué sur son site, l’entreprise a averti que « les conséquences – pour les économies, la sécurité publique et la sécurité nationale – pourraient être graves ».
Cette alerte arrive dans un climat d’attaques cybernétiques déjà sans précédent. Cependant, les premiers utilisateurs de Mythos se montrent optimistes sur le fait que l’IA aidera les défenseurs, pour l’heure. Bobby Holley a noté que « notre expérience est encourageante pour les équipes qui se remettent au travail ». Il a ajouté : « Notre mission n’est pas terminée, mais nous avons franchi un cap et pouvons entrevoir un avenir meilleur que le simple fait de suivre. Les défenseurs ont enfin la chance de gagner, de manière décisive. »