Mythos : Un modèle d'IA qui bouleverse le monde de la cybersécurité.

Pour comprendre les préoccupations du secteur de la cybersécurité, il faut considérer le principal obstacle humain qui persiste depuis longtemps : le temps, l’expertise et le coût. Une vulnérabilité critique nécessite généralement des heures, voire des jours, d’analyse et de reconstitution avant qu’un exploit puisse être développé. Avec Mythos, cet obstacle est considérablement réduit. L’AISI britannique indique que Mythos est le premier modèle à avoir mené à bien une simulation complète de cyberattaque en entreprise (32 étapes) dans 3 cas sur 10, avec un taux de réussite moyen de 22 étapes sur 32. Lors de tests CTF de niveau expert, le modèle a atteint un taux de réussite de 73 %. Il est important de noter que l’AISI ne prétend pas que Mythos soit capable de percer toutes les défenses robustes existantes. Cependant, le simple fait que l’IA ait progressé à ce point dans une longue série de tâches laisse présager une réduction rapide du délai entre la découverte d’une vulnérabilité et son exploitation.

Ce point a été clairement illustré dans la pratique. Mozilla a déclaré que la version 150 de Firefox corrigeait 271 vulnérabilités découvertes grâce à une version préliminaire de Mythos. Auparavant, en collaboration avec Anthropic et avec une version antérieure, Firefox 148 n'avait corrigé que 22 failles critiques. Le nombre 271 ne signifie pas automatiquement qu'Internet est devenu instantanément 271 fois plus dangereux. Mais il révèle un phénomène bien plus concret : les capacités d'analyse par IA peuvent contraindre les équipes de sécurité à une phase de nettoyage à grande échelle, au cours de laquelle une multitude de failles potentielles sont mises au jour simultanément. Ainsi, l'ère à venir ne sera peut-être pas celle du « triomphe des pirates informatiques dotés d'IA », mais plutôt celle où chaque équipe de développement logiciel sera obligée de réaliser un audit complet, plus approfondi, plus rapide et bien plus gourmand en ressources.

Bien sûr, Mythos n'est pas qu'une simple loupe pour les défenseurs. C'est la double nature de cette technologie qui inquiète les autorités de régulation. Anthropic reconnaît que le modèle peut identifier et exploiter les vulnérabilités zero-day des principaux systèmes d'exploitation et navigateurs, sur demande. Son rapport technique indique également que même les personnes sans formation formelle en sécurité, si elles disposent des outils adéquats, peuvent laisser Mythos détecter les vulnérabilités et les exploiter automatiquement. C'est ce qui bouleverse l'équilibre de la cybersécurité : lorsque les connaissances en matière d'attaques sont intégrées à un modèle, la barrière à l'entrée pour les attaquants est plus faible, tandis que la pression sur les défenseurs augmente considérablement. En bref, l'IA transforme la chasse aux bugs, autrefois coûteuse, en un processus reproductible à grande échelle.

Par conséquent, Anthropic n'a pas commercialisé Mythos comme un produit grand public classique. L'entreprise a préféré créer le projet Glasswing, réunissant des partenaires tels qu'Amazon Web Services, Apple, Google, Microsoft, NVIDIA, JPMorgan Chase, la Linux Foundation et Palo Alto Networks, et s'étendant à plus de 40 organisations qui conçoivent ou maintiennent des infrastructures logicielles critiques. Anthropic a investi jusqu'à 100 millions de dollars en crédits pour Mythos et 4 millions de dollars en soutien direct à des organisations de sécurité open source. En théorie, il s'agit de privilégier les capacités défensives aux capacités offensives. Mais l'autre aspect de la question est tout aussi clair : un outil susceptible d'affecter la sécurité logicielle mondiale se trouve désormais entre les mains d'un laboratoire privé et d'un groupe restreint de partenaires. Le débat ne porte pas seulement sur la dangerosité de l'IA, mais aussi sur les personnes autorisées à l'utiliser et celles qui la supervisent.

Le marché a réagi promptement. Reuters a rapporté que les actions des sociétés de logiciels américaines ont chuté après l'annonce de Mythos le 7 avril, tandis que le Financial Times a noté que les valeurs de la cybersécurité ont subi des pressions, les investisseurs commençant à envisager la possibilité que l'IA puisse bouleverser les modèles économiques traditionnels de la sécurité. Un paradoxe notable se dessine : lorsqu'un modèle d'IA contribue à une détection plus efficace des vulnérabilités, la demande en cybersécurité ne diminue pas. Au contraire, elle peut même augmenter significativement, mais elle se déplacera des produits de protection traditionnels vers de nouvelles fonctionnalités telles que l'analyse assistée par l'IA, le déploiement automatisé de correctifs, l'évaluation de la chaîne d'approvisionnement logicielle, la surveillance des anomalies et la réponse rapide en temps réel.

Néanmoins, la prudence reste de mise. Le rapport d'Anthropic sur les risques ne qualifie pas Mythos de « super IA rebelle », mais conclut que le risque global est très faible, bien que supérieur à celui des modèles précédents. L'entreprise indique que les premières versions peuvent parfois surréagir pour accomplir certaines tâches et que, dans de rares cas, des signes de dissimulation de tels comportements ont été observés. Bloomberg a également rapporté qu'un groupe d'utilisateurs non autorisés avait accédé à Mythos, et le Wall Street Journal a indiqué que la Maison Blanche s'était opposée à l'extension de l'accès à environ 120 organisations par Anthropic, pour des raisons de sécurité nationale. Ces faits démontrent que l'enjeu principal ne réside pas dans des détails sensationnels, mais dans un problème bien plus complexe : comment gérer un outil dont la sécurité et l'extension comportent toutes deux des risques ?

Par conséquent, ce que Mythos a véritablement bouleversé, ce n'est pas un système en particulier, mais la façon dont le monde conçoit la cybersécurité. Pendant des années, les entreprises ont cru qu'augmenter leurs budgets de sécurité, recruter suffisamment d'experts et corriger régulièrement les vulnérabilités suffirait à maintenir l'équilibre. Mythos démontre que cet équilibre est en train de basculer. Lorsque l'IA sera capable de détecter les vulnérabilités à l'échelle industrielle, le vainqueur sera celui qui appliquera une discipline de mise à jour plus rigoureuse, un contrôle d'accès plus strict, une journalisation plus exhaustive et qui fera de la cybersécurité une priorité stratégique, et non plus un simple enjeu technique. C'est également ce que soulignent le gouvernement britannique et l'AISI : dans cette nouvelle ère, les principes fondamentaux tels que les correctifs, la configuration sécurisée, l'autorisation appropriée et la surveillance continue ne sont pas obsolètes ; ils sont plus importants que jamais. Aujourd'hui, c'est Mythos. Demain, ce seront des modèles encore plus puissants. Désormais, la question n'est plus de savoir si l'IA est entrée dans le champ de bataille de la cybersécurité, mais si les organisations se sont adaptées pour y survivre.

Source : https://vtv.vn/mythos-mo-hinh-ai-lam-rung-chuyen-the-gioi-an-ninh-mang-100260525191904058.htm