shapes shapes
Quoi de neuf dans la Silicon Valley ?

Pourquoi Mythos, le nouveau LLM d’Anthropic fait trembler la cybersécurité mondiale ?
Par Georges Nahon

image hero
Retour
  • Un LLM trop puissant pour être rendu public...
  • Des capacités qui émergent spontanément
  • Des failles vieilles de 30 ans, enfin découvertes : la "Vuln-Pocalypse" 
  • Project Glasswing : une alliance de survie collective Une régulation de facto par les acteurs privés
  • La démocratisation de l’attaque : pourquoi c’est alarmant
  • Réelle inquiétude ou marketing de la peur ?
  • La réaction du gouvernement américain : entre alerte et inertie
  • Une dette structurelle, pas seulement un modèle trop puissant
  • Conclusion : un tournant, pas une catastrophe ... si l’on agit vite

    • Un LLM trop puissant pour être rendu public...


    Le 7 avril 2026, Dario Amodei, PDG d’Anthropic, a fait une annonce sans précédent dans l’industrie de l’IA : son dernier LLM, baptisé Mythos, est trop puissant pour être mis sur le marché. Une décision rare dans une industrie habituée à publier rapidement ses avancées, et qui en dit long sur la nature des capacités en jeu. Dans ses propres mots : « Lors de nos tests, nous avons constaté que Mythos Preview est capable d’identifier puis d’exploiter des vulnérabilités zero-day dans tous les principaux systèmes d’exploitation et tous les principaux navigateurs web, lorsqu’un utilisateur lui en donne l’instruction. »

    En d’autres termes, Mythos a identifié des failles de sécurité dans l’ensemble des outils informatiques et réseaux qui font fonctionner le monde numérique. La perspective de voir des hackers indépendants ou des nations s’attaquer à ces infrastructures est suffisamment sérieuse pour qu’Anthropic ait refusé toute diffusion publique du modèle.

    Ce que l'on redoute dans le secteur : Mythos est trop puissant pour échouer...(too big to fail)


    Des capacités qui émergent spontanément

    Ces capacités en cybersécurité ne résultent pas d’un entraînement spécifique : elles sont un effet secondaire des performances générales de Mythos en programmation. Selon Amodei, le modèle rivalise avec un expert humain dans l’identification de bugs, ce qui lui permet de détecter et corriger davantage de vulnérabilités, plus rapidement.

    Sa véritable force réside dans sa capacité à enchaîner des failles : là où chaque vulnérabilité isolée présente peu d’intérêt, il peut en combiner trois, quatre, voire cinq dans un ordre précis pour produire un exploit d’une redoutable sophistication.
     

    Des failles vieilles de 30 ans, enfin découvertes : la "Vuln-Pocalypse" 

    Les tests menés par Anthropic ont révélé des vulnérabilités anciennes, parfois ignorées par les audits de sécurité pendant des décennies :

    •  Une vulnérabilité vieille de 27 ans dans OpenBSD, utilisé notamment dans des pares-feux et des infrastructures critiques ;
    •  Un bug vieux de 16 ans dans FFmpeg, passé inaperçu malgré plus de 5 millions de scans automatisés ;
    •  De nombreuses failles dans le noyau Linux, présent sur la grande majorité des serveurs mondiaux.
    Ces résultats illustrent à quel point certaines vulnérabilités peuvent rester invisibles pendant des années, même face aux outils de sécurité les plus utilisés. Comme l’a déclaré John « Four » Flynn, vice-président de la sécurité chez Google DeepMind, la « vuln-pocalypse » a déjà commencé. Il ne faudra probablement que quelques mois avant que des acteurs moins scrupuleux publient un modèle aux capacités équivalentes à celle de Mythos
     

    Project Glasswing : une alliance de survie collective Une régulation de facto par les acteurs privés

    Face à ce risque, Anthropic a mis en place le concept de sandboxing (environnements isolés) et des alliances défensives et a lancé le Project Glasswing (du nom du papillon aux ailes transparentes Greta oto) une initiative regroupant une quarantaine d’organisations partenaires qui bénéficient d’un accès contrôlé à Mythos pour sécuriser les infrastructures numériques les plus critiques avant toute diffusion plus large.
    La liste des participants est en elle-même un signal fort : Apple, Microsoft, Amazon, Cisco, CrowdStrike, la Linux Foundation, JPMorgan Chase, et même Google, concurrent direct d’Anthropic. Dans le monde tech, les entreprises ne collaborent pas avec leurs rivaux sans raison sérieuse. Ce n’est pas un geste commercial : c’est un geste de survie collective. Aucune de ces entreprises n’a intérêt à cautionner une exagération car elles ont toutes une réputation et des responsabilités légales à protéger.

    Quand Google signe aux côtés d’Anthropic, la question n’est plus « est-ce que c’est vrai ? » mais « combien de temps nous reste-t-il ? »

    Les acteurs de l’IA et leurs clients ont donc créé une alliance défensive pour se réglementer eux-mêmes, sans attendre l’intervention du gouvernement américain qui participe aux échanges. Il est vraisemblable qu’OpenAI et Google finiront par adopter la même approche. De son côté, OpenAI s’apprête à annoncer son propre LLM frontière, Spud ou GPT-5.5, qui devrait, lui aussi, apporter des surprises.

    Cette stratégie apparait comme une manière pro-active de maintenir la pression et de gagner la course à l’IA, tout en acceptant certains compromis pour garantir la sécurité.


    La démocratisation de l’attaque : pourquoi c’est alarmant

    Les tâches qui nécessitaient autrefois une expertise avancée sont désormais de plus en plus automatisées par des systèmes d’IA. Des attaquants même peu qualifiés techniquement peuvent désormais lancer4 des attaques hautement automatisées sur des milliers de systèmes simultanément.

    Selon Alex Stamos, expert en cybersécurité5, « nous n’avons que six mois environ avant que les modèles open-weight rattrapent les LLMs de frontière dans la détection de failles, à partir de quoi chaque acteur de ransomware sera capable de trouver et d’armer des bugs sans laisser de traces pour les forces de l’ordre. »


    Réelle inquiétude ou marketing de la peur ?

    En effrayant les acteurs du marché, Anthropic s’assure une couverture médiatique considérable et positionne Mythos comme l’outil indispensable de la défense cyber. La question mérite d’être posée : ne font-ils que crier au loup en exagérant le risque dans le cas de Mythos ?

    D'autant qu'on se souvient qu'en février 2019, au moment du lancement de GPT2, OpenAi avait averti de l'imminence d'une apocalypse avec des torrents de spam et de désinformation...ça ne s'est pas produit. Également, en mai 2025, Anthropic a annoncé deux versions de sa famille Claude 4, dont Claude Opus 4. Dans son rapport de sécurité, la société a révélé que le modèle était capable de dissimuler ses intentions et de prendre des mesures de rétorsion pour préserver sa propre existence. Mais au final ce n'était pas un modèle qui de lui-même "faisait du chantage aux utilisateurs" au sens courant, c'était une expérience de stress-test très contrôlée, conçue délibérément pour pousser le LLM vers des comportements extrêmes. Mais les résultats ont quand même été jugés suffisamment préoccupants pour être rendus public ... et faire du buzz !

    Mais cette fois-ci, avec Mythos, c'est différent, comme on dit dans la Silicon Valley.


    La réaction du gouvernement américain : entre alerte et inertie

    Le secrétaire au Trésor Scott Bessent et le président de la banque Fédérale Jerome Powell ont réuni les PDG de Wall Street en réunion d’urgence pour les alerter sur les risques cyber posés par Mythos. Parmi les présents : les dirigeants de Citigroup, Morgan Stanley, Bank of America, Wells Fargo et Goldman Sachs.

    Car, certains au sein du gouvernement craignent que la plupart des dirigeants ignorent encore l’ampleur du danger. « Washington gouverne par les crises », résume-t-on en coulisses. « Tant que ce n’est pas une crise visible, la cybersécurité reste un sujet de second plan. »

    La question stratégique se pose également dans la compétition avec la Chine : Pékin aurait-il annoncé publiquement qu’un de ses modèles disposait des mêmes capacités offensives ? Il est permis d’en douter.
     

    Une dette structurelle, pas seulement un modèle trop puissant

    Les six prochains mois seront une période unique de rattrapage, où la cybersécurité pilotée par l’IA sera capable de détecter une série de bugs dormants dans un large éventail de systèmes. Les DSI et CISO disposent là d’une fenêtre d’opportunité pour appliquer des correctifs avant que ces capacités ne soient largement disponibles, et potentiellement exploitées par des acteurs malveillants. Ce qui donne peut-être six mois d’avance aux sociétés américaines face à la Chine.

    Mais le problème de fond est plus profond. Les infrastructures numériques n’ont jamais été conçues pour résister à des attaquants rapides : elles tenaient debout grâce à la lenteur naturelle des humains. L’IA ne crée pas de nouvelles failles : elle supprime la friction qui nous protégeait sans qu’on le sache.

    Le vrai problème n’est pas un modèle trop puissant, c’est une « dette structurelle colossale » : des protocoles de sécurité figés dans le passé, appliqués à des stacks qui ont évolué sans eux. Réguler les modèles ne changera rien à cela. Ce qu’il faut, c’est reconstruire de fond en comble la façon dont on valide l’intégrité des systèmes, à la vitesse où les menaces opèrent désormais.

    L’IA ne fait que tenir un miroir face à notre propre "négligence" technique.


    Conclusion : un tournant, pas une catastrophe ... si l’on agit vite

    Mythos n’est pas la fin de la sécurité informatique. C’est le début d’une nouvelle ère, celle où l’IA accélère simultanément la découverte des failles et la capacité à les exploiter. La question n’est pas de savoir si ce basculement aura lieu : il est déjà en cours. La question est de savoir qui en contrôlera le rythme.

    Pour les DSI et CISO, les prochains six mois constituent une fenêtre d’opportunité unique. Accéder aux outils défensifs pilotés par l’IA, auditer les bases de code les plus anciennes, et prioriser la correction des vulnérabilités critiques n’est plus une option : c’est une urgence stratégique.

    Pour les décideurs économiques et les investisseurs, l’émergence de Mythos envoie un signal clair : la cybersécurité passe du statut de centre de coût à celui d’avantage compétitif. Les entreprises qui auront antériorisé leur mise à niveau sortiront renforcées de cette période ; les autres s’exposent à des risques systémiques qu’aucune assurance ne couvrira pleinement.

    Enfin, à l’échelle géopolitique, l’initiative d’Anthropic soulève une question fondamentale : peut-on laisser à une poignée d’entreprises privées américaines le soin de décider qui accède aux technologies les plus décisives de notre époque ? L’Europe, absente du Project Glasswing, ferait bien de ne pas rester spectatrice. D'autant que l'on peut imaginer que la Chine ne s'est pas endormie sur ces sujets.

    Il ne faudra probablement que quelques mois avant que des acteurs moins scrupuleux publient un modèle aux capacités équivalentes. D’ici là, espérons que nos logiciels auront été suffisamment sécurisés.
    Attention : Mythos n'est pas un mythe.


    (c) 2026 Georges Nahon  15 avril 2026

    Analyste indépendant des technologies numériques de la Silicon Valley. Auteur, chroniqueur et conférencier/consultant.

    Sources : Wall Street Journal, Washington Post, New York Times, The Guardian, Fortune, B.Gerstner, contacts professionnels aux USA.

    Autres articles sur le même thème

    image
    Quoi de neuf dans la Silicon Valley ?
    Quand la foule corrige l'IA. La percée des marchés de prédiction.
    par Georges Nahon
    Mag #32
    Lire l'article
    image
    Quoi de neuf dans la Silicon Valley ?
    L’IA et la tentation du catastrophisme
    par Georges Nahon
    Lire l'article
    image
    Quoi de neuf dans la Silicon Valley ?
    La transformation du SaaS à l’ère des agents intelligents
    par Georges Nahon
    Mag #31
    Lire l'article
    image
    Quoi de neuf dans la Silicon Valley ?
    Quand les géants du cloud conçoivent et commercialisent leurs propres puces IA L’intégration verticale redéfinit l’IA mondiale
    par Georges Nahon
    Mag #30
    Lire l'article