Les mises en garde se multiplient à propos de Mythos, l’IA « experte » en cybersécurité d’Anthropic. Ce modèle d’IA, capable de tester la sécurité des systèmes informatiques et de trouver des failles, inquiète jusqu’au sommet des États. Le gouvernement britannique a ainsi appelé, lundi 13 avril, les institutions financières à se pencher d’urgence sur les capacités de cet algorithme et à renforcer leurs défenses informatiques.
David Solomon, le PDG du géant bancaire américain Goldman Sachs, a assuré mardi être « hyper vigilant et conscient » des risques posés par ce nouvel outil. Quelques jours plus tôt, c’est l’administration américaine qui avait réuni plusieurs dirigeants de banques et d’institutions comme la Réserve fédérale pour évoquer les défis posés par Mythos et d’autres nouveaux modèles d’IA passés maîtres ès cybersécurité.
Un nombre de vulnérabilités découvertes « hallucinant »
Pourtant, rares sont ceux qui, pour l’instant, ont pu voir de quoi Mythos est capable.
En parallèle à l’annonce officielle du lancement de cette IA le 7 avril, Anthropic a décidé de la mise en place d’un petit comité – baptisé Project Glasswing – réunissant une cinquantaine d’organisations seulement.
Des géants de la Tech, tels qu’Amazon ou Google, des grands noms de la cybersécurité, comme CrowdStrike ou Palo Alto Networks, et des acteurs du logiciel libre, comme la Fondation Linux, sont actuellement les seuls à pouvoir se frotter à la créature d’Anthropic.
Pour son créateur, Project Glasswing est nécessaire, car il ne faut pas qu’un outil aussi puissant tombe d’abord entre de mauvaises mains. Une démarche qui a été accueillie avec circonspection. Mythos est-il mytho ? Et Anthropic cultive-t-il le secret pour faire le buzz autour de son dernier produit ?
Une extension de votre navigateur semble bloquer le chargement du lecteur vidéo. Pour pouvoir regarder ce contenu, vous devez la désactiver ou la désinstaller.
Réessayer
« J’aurais préféré que ce ne soit que du marketing et que Mythos soit moins puissant qu’annoncé. Cela aurait vraiment rendu notre vie plus facile ces derniers temps », regrette Sylvestre Ledru, directeur de l’ingénierie pour Mozilla. La fondation qui gère le navigateur Firefox peut avoir accès à Mythos pour tester ses produits et, « avec Firefox, l’un des outils les plus attaqués et sécurisés depuis des décennies, on pensait avoir tout vu et tout entendu en matière de failles de sécurité. Mais le nombre de vulnérabilités découvertes par Mythos – et pas seulement chez nous – est proprement hallucinant », reconnaît-il.
C’est ce que Sylvestre Ledru appelle « la révolution Mythos ». « Sa capacité à découvrir rapidement, de manière autonome et fiable, des vulnérabilités à travers un large spectre de logiciels et d’infrastructures réseaux est ce qui change la donne », explique Lukasz Olejnik, consultant sur les questions de sécurité technologique et chercheur associé au King’s College de Londres.
Des failles informatiques vieilles de 27 ans
« Mythos représente une évolution importante par rapport aux modèles plus ciblés qui nécessitent des instructions très précises et un accompagnement humain constant pour découvrir les failles de sécurité », complète Sven Herpig, spécialiste des questions de cybersécurité et des risques émergents à Interface, une ONG allemande étudiant l’impact sociétal des nouvelles technologies.
L’ampleur des découvertes de Mythos, détaillées par Anthropic, a de quoi donner le vertige. Cette IA a ainsi identifié une faille passée inaperçue pendant 27 ans dans un système d’exploitation utilisé par des millions de personnes. « Certaines failles qu’il a trouvées existaient depuis plus d’une décennie », reconnaît aussi Sylvestre Ledru.
À lire aussiL’intelligence artificielle ChatGPT et la démocratisation de la cybercriminalité
Il ne s’agit pas de failles de sécurité obscures qui ne posent pas de réel problème en matière de sécurité informatique. « Certaines vulnérabilités peuvent être qualifiées de critiques », assure l’expert de Mozilla. Autrement dit, un acteur malveillant mettant la main sur ce coffre à failles pourrait faire des dégâts.
Pour les experts interrogés, c’est tout l’enjeu de la démarche prudente d’Anthropic. « Pour l’instant, ce sont les défenseurs qui ont l’avantage car ils sont seuls à y avoir accès, mais dès que Mythos sera rendu public, les attaquants risquent de prendre l’ascendant », prévient Sven Herpig.
Compte à rebours avant une « nouvelle ère » de la cybersécurité
Pour cet expert, l’un des principaux risques vient des assaillants envoyés sur le cyberfront par les États, que ce soient les hackeurs travaillant pour la Russie ou la Chine, ou même pour des pays occidentaux. Que se passera-t-il si Mythos découvre pour eux des failles dans les infrastructures critiques d’autres États ?
Mais le danger vient aussi du bas de la chaîne alimentaire des cybercriminels. « Mythos est capable de trouver une faille et ensuite de créer une méthode pour l’exploiter sans avoir besoin d’intervention humaine. Cela va faire baisser le ticket d’entrée pour les pirates informatiques, qui n’auront plus besoin d’avoir des connaissances techniques très élevées pour perpétrer des attaques sophistiquées », assure Jason Nurse, expert en cybersécurité à l’université de Kent.
La mise en place du Project Glasswing constitue ainsi le début d’un compte à rebours avant « l’avènement d’une nouvelle réalité de la cybersécurité », affirme Lukasz Olejnik. Tous les participants à ce comité sont engagés dans une course à la correction de toutes les vulnérabilités découvertes « avant qu’Anthropic ne décide de rendre Mythos public ou alors qu’un autre acteur du secteur ne développe sa propre solution », souligne Sven Herpig.
OpenAI, le créateur de ChatGPT, a ainsi annoncé mardi le lancement de GPT-4.5 Cyber, son rival à Mythos. Là aussi, la disponibilité de cette IA est restreinte à quelques organisations triées sur le volet. Les experts interrogés se demandent aussi si les Chinois s’apprêtent à lancer leur solution et si elle sera déployée avec la même prudence.
« Qu’en est-il aussi de tous les développeurs de logiciels qui ne sont pas associés à ces petits groupes ayant le droit de tester Mythos ? », avertit Jason Nurse. Sans compter que « certaines parties d’Internet reposent sur des logiciels libres qui sont maintenus par un ou deux volontaires seulement. Il est impossible pour eux de corriger toutes les vulnérabilités que Mythos pourrait trouver », souligne Sven Herpig.
Il y a donc fort à parier que cette parenthèse durant laquelle seuls ceux qu’Anthropic qualifie de « bons acteurs » peuvent travailler avec Mythos ne suffise pas. Au bout du compte, « il y aura probablement un déluge de correctifs à installer très vite par les entreprises et organisations dans le monde entier », estime Lukasz Olejnik.
Mythos peut ainsi être considéré comme la proverbiale boîte de Pandore d’où risquent de sortir mille et un nouveaux dangers cyber. Mais il y a aussi le scénario plus optimiste dans lequel Mythos donne un grand coup de pied dans la fourmilière, obligeant tout le monde à renforcer « de manière générale la sécurité des logiciels », conclut Sylvestre Ledru.
Source:
www.france24.com
