Le modèle de cybersécurité Mythos d’Anthropic aurait détecté des vulnérabilités dans plusieurs systèmes informatiques sensibles du gouvernement américain lors d’un exercice contrôlé avec la National Security Agency. L’affaire a rapidement suscité l’inquiétude, certains témoignages suggérant que l’IA avait piraté la quasi-totalité des réseaux classifiés de l’agence en quelques heures.
Une manifestation encadrée, loin d’une véritable intrusion
Lors d’une audition au Sénat américain, le sénateur Marc Warner a signalé que Mythos avait accédé «presque tous les systèmes classifiés» de la NSA « pas dans quelques semaines, mais dans quelques heures ». Cette phrase doit cependant être replacée dans son contexte : l’évaluation se serait déroulée dans un environnement numérique particulièrement fermé et préparé aux tests.
Selon des responsables fédéraux cités par la presse américaine, le modèle a surtout permis d’identifier rapidement des failles de sécurité. Cependant, l’IA n’aurait pas exploité ces vulnérabilités pour prendre le contrôle des systèmes testés, ni reproduire le comportement d’un attaquant autonome opérant depuis l’extérieur.
Mythos, une IA conçue pour la cybersécurité
Présenté au printemps par Anthropic dans le cadre du programme Project Glasswing, Mythos est un modèle destiné à repérer les erreurs de code, analyser les logiciels et accélérer la recherche de chemins d’attaque. Son potentiel intéresse aussi bien les équipes de défense informatique que les autorités américaines, qui craignent que des outils comparables ne soient détournés par des acteurs malveillants.
Un avertissement sur les capacités émergentes de l’IA
Ces nouvelles révélations illustrent avant tout la rapidité avec laquelle l’IA spécialisée peut assister les experts en cybersécurité. Leur capacité à cartographier les faiblesses techniques peut renforcer les défenses, mais nécessite également une plus grande sécurité des infrastructures critiques.
La polémique autour de Mythos rappelle également que les administrations comme les entreprises doivent désormais anticiper d’éventuelles cyberattaques assistées par l’IA. Comme si les groupes de hackers ne suffisaient pas…
