© Anthropic Claude Mythos, l’IA d’Anthropic jugée trop puissante pour être rendue publique, vient de lever le voile sur une faille de sécurité vieille de 29 ans. Cette vulnérabilité permettait à un attaquant de voler les identifiants ou les mots de passe d’autres utilisateurs partageant le même réseau. Présente depuis 1997, elle est passée inaperçue des audits humains et des outils de sécurité classiques.

Claude Mythos, la version la plus puissante de l’IA d’Anthropic, continue de faire des prouesses. Réservée aux entreprises membres du projet Glasswing, l’IA vient de débusquer une faille de sécurité dans Squid, l’un des serveurs proxy web les plus répandus au monde. Le serveur est utilisé dans des milliers d’entreprises, d’écoles et même à bord d’avions commerciaux, pour gérer le trafic internet des utilisateurs.

La faille, baptisée « Squidbleed » par les chercheurs de la société Calif.io, est apparue dans le code de Squid en 1997, il y a 29 ans. Tout découle d’une vieille fonctionnalité intégrée à Squid, à savoir la gestion du protocole FTP, un ancien système de transfert de fichiers sur internet. Dans les années 90, les développeurs avaient ajouté un petit bout de code pour que Squid fonctionne aussi avec les serveurs NetWare, un logiciel réseau très répandu dans les entreprises de l’époque.

Ces serveurs affichaient la liste de leurs fichiers dans un format légèrement différent des autres. C’est ce bout de code qui a donné naissance à « Squidbleed ». À lire aussi : Claude Mythos a piraté la « quasi-totalité des systèmes classifiés » de la NSA en « quelques heures », mais c’était un test Une faille cachée dans un détail technique Il y a quelques semaines, les chercheurs ont chargé Claude Mythos de scanner tout le code de Squid.

Rapidement, l’intelligence artificielle a remarqué une anomalie dans la programmation du serveur proxy. Le bug se cache dans un tout petit détail technique. Lors de la lecture d’une liste de fichiers FTP, le programme utilise une instruction censée ignorer les espaces dans un texte.

Malheureusement, cette instruction a un comportement inattendu quand elle atteint la fin du texte. Au lieu de s’arrêter, elle continue à avancer dans la mémoire et se met alors à lire des données qui ne lui appartiennent pas, potentiellement celles d’un autre utilisateur. Des identifiants de connexion, des tokens de session, des mots de passe en clair peuvent ainsi être exposés à un attaquant qui exploite la vulnérabilité.

C’est potentiellement une catastrophe pour les nombreux utilisateurs de Squid. Pendant des décennies, la faille est passée inaperçue. Aucun chercheur n’a jamais mis le doigt sur ce comportement imprévu.

La faille a été qualifiée de « modérée » par les chercheurs. Pour l’exploiter, il faut déjà être un utilisateur légitime du proxy ciblé et contrôler un serveur FTP accessible depuis ce proxy. Le trafic HTTPS, qui représente aujourd’hui la grande majorité des connexions, n’est pas concerné par la faille de sécurité.

Un correctif a été ajouté à la mise à jour Squid v7.6 pour colmater la brèche. 10 000 failles de sécurité débusquées par Mythos Ce n’est pas la première fois que Claude Mythos débusque une faille inconnue qui gangrénait du code informatique depuis des années. L’IA a d’ailleurs retrouvé une vulnérabilité vieille de 27 ans dans le système OpenBSD, utilisé pour faire tourner des pare-feux critiques, et un bug existant depuis 16 ans dans FFmpeg, une bibliothèque vidéo utilisée sur des millions d’appareils.

Depuis sa création, Mythos a déniché plus de 10 000 vulnérabilités dans des logiciels open source. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : Calif AnthropicClaudeMythos Florian Bayard Sur le même sujet Claude Mythos a piraté la « quasi-totalité des systèmes classifiés » de la NSA en « quelques heures », mais c’était un test Suspension de Claude Fable 5 et Mythos 5 : une semaine plus tard, où en sont les négociations entre Anthropic et Donald Trump ? 100 experts en cybersécurité protestent contre la suspension de Claude Fable 5 et Mythos 5 Anthropic va vérifier l’identité des utilisateurs de Claude, préparez votre carte d’identité et votre passeport Meilleur antivirus 2026 : lequel choisir ? Quel est le meilleur VPN ?

Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en juin 2026 Meilleur VPN gratuit : 7 options à choisir + 2 à fuir Les dernières actualités Claude Mythos a découvert une faille de sécurité qui existe depuis près de 30 ans Apple fou de rage : Amazon vend ses AirPods 4 pour “peanuts” pendant le Prime Day 🥜 Noté 4,7 sur 5, ce chargeur mural 30W avec 3 ports est “presque” gratuit sur Amazon Le prix de la Switch 2 prend une claque monumentale au Prime Day 💥 Les AirPods Pro 3 écrasaient déjà les rivales, mais le prix d’Amazon les envoie dans une autre galaxie Avec plus de 177,000 avis positifs, la microSD SanDisk 128 Go se vend pour 3x rien sur Amazon Apple voit rouge, les AirTags de 2ème génération sont à quasi -40% sur le site d’Amazon Apple n’a aucune chance : ce pack de 2 cables USB-C 100W coûte 5x moins cher Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro