En 1851, un serrurier américain du nom d’Alfred Charles Hobbs s’installa dans une boutique londonienne et défit, en quelques jours, un verrou réputé inviolable depuis soixante ans. La presse parla de scandale. Les banquiers s’affolèrent. L’industrie, elle, finit par innover. Plus d’un siècle et demi plus tard, l’histoire se répète, mais cette fois, le crocheteur s’appelle « intelligence artificielle ».
La société américaine Anthropic, connue pour avoir développé l’assistant conversationnel Claude, a annoncé en avril dernier l’existence d’un nouveau modèle d’IA baptisé Mythos, dans le cadre d’un programme restreint appelé Projet Glasswing. Ce modèle n’est pas accessible au grand public. Sa spécialité : débusquer des failles de sécurité dans du code informatique avec une efficacité que l’on n’avait encore jamais observée.
🟢 À LIRE AUSSI : Escroqueries via les fonctionnalités collaboratives d’OpenAI : Kaspersky tire la sonnette d’alarme
Son fait d’armes le plus éloquent ? La découverte d’un bug vieux de 27 ans dans OpenBSD, un système d’exploitation dont la réputation de robustesse n’est plus à faire. OpenBSD est audité en continu par des professionnels depuis 1996. Des centaines d’experts ont relu ce code pendant près de trois décennies. Aucun n’avait vu ce que Mythos a trouvé.
Selon Anthropic, le modèle aurait identifié des milliers de vulnérabilités dites « zero day », des failles inconnues, donc non corrigées, en enchaînant certaines d’entre elles pour construire des exploits fonctionnels. Plus de 99 % de ces failles ne seraient pas encore corrigées à ce jour.
Le vrai problème : ce qui est moins surveillé qu’OpenBSD
Si Mythos a trouvé un bug de 27 ans dans l’un des codes les plus scrutés de l’histoire de l’informatique, la question qui s’impose est brutale : qu’est-ce qui attend dans les systèmes que personne n’a vraiment auditié depuis des décennies ?
La réponse est inconfortable. Une grande partie des infrastructures critiques mondiales, dont les réseaux bancaires, les systèmes de paiement, les contrôleurs de réseaux électriques et les plateformes de transport, fonctionne encore sur du code écrit dans les années 1980 et 1990.
Du COBOL pour les banques. Des architectures pensées à une époque où la menace informatique était quasi inexistante. Ces systèmes ont survécu non pas parce qu’ils étaient particulièrement sécurisés, mais parce que les trouver et les exploiter était coûteux, lent et techniquement exigeant.
Avec un modèle comme Mythos, ce coût s’effondre. Ce qui prenait des mois de travail à une équipe de spécialistes peut désormais être accompli en quelques heures. La barrière de l’effort, qui protégeait ces vieux systèmes autant que n’importe quelle mesure de sécurité formelle, est en train de disparaître.
🟢 À LIRE AUSSI : Cyberattaques mobiles : pourquoi les smartphones attirent-ils autant les pirates ?
Une décennie de transition, pas une apocalypse
Il serait inexact, et contre-productif, de présenter ce moment comme la fin de la cybersécurité. Les experts sont formels : à long terme, l’IA va considérablement améliorer la qualité du code produit. Les modèles corrigeront les modèles. Les failles seront détectées avant même que le code ne soit déployé. Le logiciel de 2035 sera vraisemblablement bien plus difficile à exploiter que celui de 2015.
Mais entre aujourd’hui et ce futur plus sûr, il y a une fenêtre dangereuse. Des décennies de code hérité se retrouvent soudainement exposées à des outils de détection dont personne ne disposait hier. Et contrairement à un bug dans OpenBSD, qui se corrige souvent avec quelques lignes, une faille profondément enfouie dans un système bancaire écrit il y a quarante ans peut s’avérer impossible à corriger sans remettre en cause l’ensemble de l’architecture. Parfois, personne ne comprend même plus entièrement ce que le code en question fait réellement. C’est cette fenêtre, cette décennie de transition, qui constitue le vrai sujet d’inquiétude.
Le piège du faux sentiment de sécurité
L’autre risque, plus insidieux, est humain. À mesure que l’IA s’intègre dans les flux de développement, écrit du code, le vérifie et suggère des corrections, on passe à la suite, les outils de sécurité traditionnels commencent à sembler superflus. Pourquoi payer un scanner, pourquoi mobiliser une équipe dédiée, si le modèle s’en occupe déjà ?
Des recherches récentes ont montré que les meilleurs modèles actuels produisent du code à la fois fonctionnel et sécurisé dans seulement 56 % des cas. Autrement dit, se reposer uniquement sur cette boucle automatisée, c’est laisser passer près d’une vulnérabilité sur deux. Les failles générées par l’IA atterrissent alors dans des bases de code que l’IA sera bientôt très efficace à exploiter. Un cercle vicieux parfaitement silencieux.
Les experts humains : plus précieux que jamais
La bonne nouvelle c’est que l’émergence de modèles comme Mythos ne rend pas les experts en cybersécurité obsolètes. Elle les rend plus précieux.
Ce que l’IA ne sait pas encore faire, c’est analyser du code sans accès au code source, opérer dans les environnements réglementés qui exigent des outils certifiés avec piste d’audit, surveiller en temps réel les forums du dark web, attribuer une attaque à un acteur précis ou détecter une porte dérobée intentionnellement glissée dans une chaîne d’approvisionnement logicielle. Tout cela suppose du jugement, du contexte et une connaissance propriétaire qu’aucun modèle public ne possède.
Le marché va se stratifier. Les tâches répétitives et massives seront absorbées par l’IA. Mais l’expertise humaine profonde, celle qui comprend les enjeux métier, les contraintes réglementaires et les dynamiques d’attaque réelles, reste irremplaçable et le deviendra davantage à mesure que les systèmes automatisés prolifèrent.
🟢 À LIRE AUSSI : Piratage en voyage : Kaspersky dévoile les outils clés pour protéger son smartphone des cyberattaques
Agir maintenant, pas après !
La leçon de 1851 n’était pas que les serrures étaient inutiles. C’est que l’industrie qui ne regarde pas ses faiblesses en face finit par se faire dépasser par ceux qui, eux, les ont regardées. Hobbs n’a pas détruit la serrurerie britannique. Il l’a forcée à progresser.
Mythos joue peut-être le même rôle aujourd’hui. Mais la transition ne se fera pas toute seule. Les organisations qui dépendent de systèmes anciens ont une fenêtre pour agir, et cette fenêtre, contrairement aux bugs qu’elles abritent, ne restera pas ouverte indéfiniment.
