● Next INpact Télécom 📅 27/04/2026 à 13:19

Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Cybersécurité 👤 Jean-Marc Manach
Illustration
Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3) Y2KKK Illustration : Flock Jean-Marc Manach Le 27 avril à 13h19 250 responsables de la sécurité des systèmes d’information viennent de cosigner, en urgence, un rapport afin d’anticiper la potentielle déferlante de failles et de correctifs de sécurité que la cinquantaine de bêta-testeurs de Mythos Preview, l’IA spécialisée dans la cybersécurité, pourraient identifier dans les trois prochains mois. Une erreur ? L’annonce de Mythos Preview, l’IA dédiée à la cybersécurité d’Anthropic, résulte des progrès fulgurants enregistrés ces dernières années, et semblant en l’état privilégier les attaquants, comme indiqué dans le premier volet de notre série. Le second tempérait cela dit quelque peu les promesses associées à ses capacités d’identification des vulnérabilités. La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3) Anthropic et la stratégie marketing de la peur autour de sa nouvelle IA Mythos (2/3) Anthropic ayant précisé qu’il annoncera dans un délai de 90 jours les résultats des vulnérabilités identifiées par la cinquantaine d’entreprises et organismes du projet Glasswing habilités à accéder à Mythos Preview, 250 professionnels de la cybersécurité ont cosigné, en urgence, un rapport tentant d’anticiper ce que les IA agentiques en général, et Mythos Preview en particulier, étaient susceptibles de modifier. Y figurent notamment Jen Easterly, ex-directrice de la CISA (l’ANSSI US), Chris Inglis, ex-directeur adjoint de la NSA puis premier National Cyber Director des États-Unis, ou encore Rob Joyce, ex-patron de Tailored Access Operations (TAO, l’unité de hacking offensif de la NSA, dont il devient ensuite le directeur de la cybersécurité), ainsi que de nombreux cosignataires de zerodayclock.com, le « Call to action » mentionné dans le premier article de notre série. Quelques-unes des 250 signatures prestigieuses du document post-Mythos Le communiqué de presse précise que le rapport a été rédigé « en un seul week-end » par plus de 60 contributeurs, puis relu par plus de 250 responsables de la sécurité des systèmes d’information (RSSI, CISO en anglais). Intitulé « La “tempête de vulnérabilités liées à l’IA” : créer un programme de sécurité “Mythosready” », leur rapport, publié par le SANS Institute et la Cloud Security Alliance (CSA), s’adresse à ceux « qui doivent se présenter lundi matin avec un plan crédible » (il avait été mis en ligne ce dimanche 12 avril, dans la foulée de l’annonce de Mythos Preview, le 7). Il « présente les mesures immédiates, les priorités à court terme et les changements à long terme nécessaires pour évoluer dans un monde où les attaques basées sur l’IA constituent désormais la norme ». Le rapport fait d’abord et avant tout état de l’« escalade rapide des capacités offensives de l’IA au cours de l’année écoulée ». L’analyse de zerodayclock.com, que nous détaillons dans le premier volet de notre série, montre en effet que le délai moyen entre la divulgation d’une vulnérabilité et la confirmation de son exploitation est tombé de 2,3 ans en 2019 à moins d’un jour en 2026. Signe de l’accélération en cours, ce délai moyen était de 1,6 jour début mars, de 20 h mi-avril lors de la publication de notre recension de zerodayclock.com, et vient de tomber à 10 h une semaine plus tard… Le délai moyen d’exploitation d’une vulnérabilité est passé de plus de 2 ans en 2018 à 1,6 jour, 20 puis 10 h ce mois-ci – zerodayclock.com De 2 bugs/semaine identifiés par IA dans le kernel Linux à 10/jour Si le rapport reprend l’analyse de zerodayclock.com, il dresse aussi une autre chronologie de l’évolution des capacités offensives basées sur les LLM depuis l’an passé. En juin 2025, XBOW devenait ainsi le premier système autonome à prendre la tête du classement du programme de bug bounty de HackerOne, dépassant tous les hackers humains. En août, l’IA Big Sleep de Google identifiait 20 vulnérabilités « zero days » dans des programmes open source, et le challenge AIxCC (pour Artificial Intelligence Cyber Challenge) de la DARPA permettait d’identifier 54 vulnérabilités dans 54 millions de lignes de code en quatre heures seulement. En janvier 2026, l’agent autonome de aisle.com identifiait 12 failles « zero day » dans OpenSSL, dont une datant de 1998. Sysdig, où travaille aujourd’hui Sergej Epp, l’auteur de zerodayclock.com, documentait une attaque permettant à une IA de devenir admin en huit minutes. En février, Anthropic, utilisant Claude Opus 4.6, signalait plus de 500 vulnérabilités de haute gravité dans des logiciels open source. L’an passé, les rapports de failles et bugs identifiés par IA dans le kernel Linux passaient de 2 à 10 par semaine, puis de 5 à 10 par semaine, tous vérifiés, alors qu’ils étaient initialement refusés du fait de leurs « hallucinations », s’étonne le Français Willy Tarreau sur lwn.net : « Et nous constatons désormais quotidiennement un phénomène qui ne s’était jamais produit auparavant : des rapports en double, ou le même bug signalé par deux personnes différentes utilisant des outils (peut-être légèrement) différents. » Une explosion du nombre de CVE et un nombre record de vulnérabilités Soutenez un journalisme indépendant, libre de ton, sans pub et sans reproche. Accédez en illimité aux articles Profitez d'un média expert et unique Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous La suite de cet article est réservée à nos abonnés Soutenez un journalisme indépendant, expert et sans pub. Abonnez-vous sur next.ink/subs Thoscellen Premium Modifié à l'instant Message 1 Historique Signaler Bloquer cet utilisateur Ca donne l'impression qu'un outil censé aider a sécuriser des programmes, de par sa popularité, est devenu un outil qui vulnérabilise les-dits programmes ! Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui
← Retour