Alerte générale ! Un article technique publié sur le blog par Anthropic a provoqué un tsunami de commentaires de vrais experts mais aussi hélas de soi-disant spécialistes en cybersécurité qui n’ont jamais vu de leur vie une ligne de code d’un virus.
Pourquoi une telle excitation ? Pour résumer ce fameux article en quelques mots, on peut dire que le projet Mythos d’Anthropic serait un super expert en cybersécurité. Ce nouveau modèle d’IA aurait trouvé de manière autonome des milliers de vulnérabilités « zero-day » sur tous les principaux systèmes d’exploitation et navigateurs web.
Une vulnérabilité zero day (ou 0-day) est un risque de sécurité dans un logiciel qui n’est pas connu publiquement et dont l’éditeur n’a même pas connaissance. Autant dire que la découverte d’une « zero day » permet au spécialiste qui l’a dénichée de partir tranquillement au soleil durant quelques semaines (avec 100 000 à plus de 200 000 euros en poche) surtout si elle concerne l’iOS d’Apple, Android ou un navigateur web.
Avec Mythos (mais d’autres IA en sont capables aussi), la découverte de vulnérabilités sur les logiciels bénéficie d’un énorme coup d’accélérateur. De quoi inquiéter les éditeurs de logiciels mais de façon générale toutes les entreprises qui pourraient être victimes d’une cyberattaque.
Autre raison de s’inquiéter, Mythos n’est pas disponible actuellement. Anthropic a préféré lancer Project Glasswing, un accès restreint pour un usage défensif uniquement. Seul Amazon Web Service, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft et Nvidia y ont droit.
Aucun Européen ne fait partie de ce petit cercle… Précisons cependant qu’Anthropic s’est engagé à verser jusqu’à 100 millions de dollars en crédits d’utilisation et 4 millions de dollars en dons directs à des organisations de sécurité open source.
Alors, Myhos, info ou intox mâtinée de marketing ? Tout le monde n‘est pas d’accord. Sur X (ex-Twitter), Yann LeCun, l’ancien directeur scientifique de l’IA de Meta, est direct : « Le drame autour de Mythos = des conneries issues d’une illusion ».
L’utilisateur reste le maillon faible
De son côté, Frédéric Raynal, l’un des meilleurs experts en cybersécurité en France et fondateur de Quarkslab, une société composée d’équipes d’ingénieurs et de développeurs en cybersécurité, considère sur LinkedIn que « Mythos réduit le coût de certaines étapes, pas les autres contraintes. Les attaques qui font des dégâts réels n’exploitent pas des 0-days mais la confiance mal configurée ».
Pour Renaud Lifchitz, Chief Technical Officer chez Enforcis, un cabinet d’experts en cybersécurité, « il y a en fait des annonces très fantasmées et très romancées de ce qui est fait. OpenAI (éditeur de ChatGPT, NDLR) avait affirmé la même chose lors du lancement de GPT-4o. Dans les deux cas, beaucoup de vulnérabilités annoncées ne sont pas toutes “critiques” ».
Le problème selon cet expert est en effet que l’IA génère beaucoup de faux positifs et de faux négatifs. « Très souvent, il y a 20 ou 30 % de ce qui est signalé par l’outil qui n’est pas une faille, alors qu’il les présente comme telles. Et, il y a surtout 80 % de ce qu’il ne signale pas et qui sont des failles ! ».
Sur leur blog, les experts de AISLE (l’une des meilleures plateformes mondiales de sécurité des applications natives de l’IA) expliquent qu’ils utilisent différents modèles LLM dont ceux d’Anthropic. Leur verdict est clair : « Les modèles d’Anthropic n’ont pas systématiquement surpassé les alternatives sur les tâches de cybersécurité les plus pertinentes. Le modèle le plus performant varie considérablement selon la tâche ».
Sylvestre Ledru, Director of Engineering chez Mozilla corporation, se montre plus enthousiaste et serein : « Il n’y a pas photo. Trouver des failles de sécurité est compliqué. Maintenant, cela devient beaucoup plus simple et très rapide. Pour nous, l’IA est très utile car un navigateur web est l’un des logiciels les plus compliqués de la planète. Mozilla emploie plusieurs centaines de personnes à plein temps pour s’occuper de ce produit. Mais, aucun d’entre eux ne maîtrise toute la connaissance du code de Firefox. Dans ce cas, c’est impossible pour un être humain de trouver toutes les failles de sécurité. L’IA n’est jamais fatiguée ; elle peut refaire dix fois une analyse de code et travailler non-stop ! »
L’IA permettra donc d’accélérer la découverte des failles et de ce fait la mise à disposition de correctifs de sécurité. Reste le principal écueil : la gestion de ces fameuses mises à jour. « Mozilla communique rapidement et précisément sur les failles et la mise à disposition de patchs de sécurité. Mais, si les utilisateurs ne mettent pas à jour leur navigateur, ils prennent un risque d’être infectés », insiste Sylvestre Ledru.
Dans l'actualité
- Les pirates et les experts en cybersécurité misent sur l’IA agentique pour être plus efficaces
- La cybersécurité est-elle un échec ?
- Les thèses du mois : « Le jumeau numérique, outil stratégique pour l’industrie et nouveau front pour la cybersécurité »
- Le jumeau numérique, un risque spécifique de cybersécurité
- L’hyperconnexion industrielle et la collaboration homme-machine imposent une rupture en cybersécurité
- Directive européenne NIS2 : un nouveau cap pour la cybersécurité des entreprises
Dans les ressources documentaires