Vous êtes victime d'une attaque ?
L'avant-première de Claude Mythos d'Anthropic a déclenché une vague d'affirmations audacieuses sur l'avenir de l'IA et son rôle dans la cybersécurité. Les rapports faisant état de milliers de vulnérabilités découvertes, y compris des problèmes qui auraient existé sans être détectés pendant des décennies, positionnent le modèle comme une force de transformation tant dans l'attaque que dans la défense. Parallèlement, des initiatives telles que le projet Glasswing témoignent des efforts déployés par l'industrie pour anticiper les risques avant qu'ils ne se matérialisent pleinement.
Mythes, affirmations et réalité : séparer la capacité du battage médiatique
Il est toutefois important de noter que Mythos n'a pas été rendu public et reste limité à un groupe d'organisations contrôlées, ce qui limite la validation indépendante de ces affirmations. Mais comme pour toute technologie émergente, il est important de faire la part des choses entre les capacités et le battage médiatique.
Du point de vue de la cybersécurité, les affirmations concernant Mythos méritent d'être examinées de près. Selon Richard Ford, directeur technique d'Integrity360, les premières évaluations du modèle présentent une réalité plus mesurée :
"Les évaluations de Mythos en tant qu'outil d'attaque autonome montrent qu'il est capable, mais pas nécessairement meilleur que les grands modèles de langage existants. Cela dit, s'il est utilisé par des acteurs de la menace, il sera efficace pour cibler les organisations dont les mesures de sécurité sont insuffisantes".
La question n'est pas de savoir si Mythos est révolutionnaire en soi, mais comment il fonctionne dans des conditions réelles. Même s'il n'est pas beaucoup plus avancé que les modèles actuels, sa capacité à étendre son activité et à fonctionner de manière autonome introduit un autre type de risque. La capacité d'attaque n'a pas besoin d'être parfaite pour être dangereuse. Il suffit qu'elle soit cohérente et largement accessible.
Les affirmations d'Anthropic concernant la découverte de vulnérabilités attirent particulièrement l'attention. L'affirmation selon laquelle des milliers de vulnérabilités non identifiées auparavant ont été découvertes, dont certaines remontent à près de trente ans, témoigne du potentiel de l'analyse pilotée par l'IA. Toutefois, ces résultats sont en grande partie autodéclarés, avec une validation indépendante limitée.
Comme le note Richard :
"Il faut faire preuve d'une certaine prudence. Les résultats sont autoproclamés et ne font l'objet que de peu de vérifications externes. La question est de savoir s'ils sont exagérés ou s'ils reflètent une véritable capacité. S'agit-il encore d'un battage publicitaire ? Il conviendrait peut-être d'examiner cette question en même temps que le retrait récent de leurs produits de la liste des produits à usage fédéral aux États-Unis. Un sceptique pourrait se demander si l'entreprise a besoin d'une bonne nouvelle.
Le scepticisme de l'industrie et la nécessité d'une validation indépendante
Le scepticisme est justifié dans la communauté de la cybersécurité. Les nouvelles technologies arrivent souvent avec des revendications ambitieuses, et il faut du temps pour que des tests indépendants et une utilisation en conditions réelles les valident. Nous avons assisté à un battage médiatique et à des inquiétudes similaires lors de la première publication de ChatGPT, ainsi qu'à des discours alarmistes sur la création de logiciels malveillants par l'IA et les attaques de logiciels malveillants autonomes, qui ne se sont pas concrétisés de la manière et dans les délais suggérés. Le calendrier de ces annonces mérite également d'être examiné de plus près, en particulier compte tenu de la dynamique plus large du secteur et des pressions commerciales.
En examinant la carte du système de prévisualisation Mythos d'Anthropic, qui présente leur évaluation des capacités du système, on peut voir qu'il a atteint certaines des revendications dans des conditions spécifiques. Il s'agit notamment de points de contrôle non censurés et de la suppression des garde-fous afin d'optimiser les performances et d'éviter les refus. Ces conditions s'ajoutent à des scénarios de forçage brutal à un coût de calcul élevé. Ces deux éléments ne sont pas représentatifs de l'utilisation dans le monde réel une fois que le système aura été mis en circulation.
Si les capacités décrites sont exactes, les implications sont importantes. L'un des impacts les plus immédiats pourrait être sur l'écosystème de la prime aux bugs et sur le rôle des hackers éthiques :
"Si ces affirmations se confirment, elles pourraient perturber les programmes de primes à la détection de bogues et, plus largement, le marché du piratage éthique. Nous en voyons déjà les premiers signes avec des plateformes pilotées par l'IA qui obtiennent d'excellents résultats dans des environnements concurrentiels de type CTF.
Toutefois, les limites actuelles de l'IA restent un contrepoids important :
"Ces systèmes échouent lorsqu'il s'agit de comprendre la logique commerciale profonde. Cette couche contextuelle nécessite toujours une expertise humaine."
Les organisations doivent se préparer dès maintenant aux cybermenaces induites par l'IA
Cela renforce un point essentiel. L'IA progresse rapidement, mais elle n'a pas remplacé le besoin de praticiens qualifiés. Au contraire, elle modifie leur façon de travailler et les domaines dans lesquels leur expertise est la plus précieuse.
Il existe également une interprétation plus large et plus constructive de ces développements. Si l'IA peut identifier les vulnérabilités à grande échelle, elle a le potentiel d'améliorer considérablement la sécurité organisationnelle. La détection plus rapide des jours zéro et les tests continus pourraient renforcer la résilience dans tous les domaines.
Mais cela introduit un nouveau défi opérationnel, comme l'explique Richard :
"Le problème n'est pas seulement de trouver des vulnérabilités, c'est ce que l'on en fait. Les organisations ont déjà du mal à établir des priorités et à appliquer des correctifs de manière efficace. Si l'IA augmente le volume de manière exponentielle, ce défi devient encore plus difficile à relever, tandis que les attaquants ont plus d'opportunités."
C'est ici que la conversation revient sur le contrôle. Que les affirmations d'Anthropic se réalisent pleinement ou non, la direction est claire. L'IA augmentera la vitesse et l'ampleur des attaques et des défenses. Les organisations doivent être prêtes à gérer cette réalité.
Le projet Glasswing et la course à la sécurisation des systèmes d'IA
Des initiatives telles que le projet Glasswing constituent un pas dans la bonne direction, car elles visent à sécuriser les systèmes d'IA avant qu'ils ne soient largement exploités. Cependant, comme le souligne Richard, "l'identification des vulnérabilités n'est qu'une partie de la solution :
"L'identification des vulnérabilités n'est qu'une partie de l'équation. Apporter des correctifs, les tester et les déployer à grande échelle n'est ni rapide ni trivial, en particulier si le nombre d'utilisateurs augmente de manière significative. Et il ne s'agit pas seulement d'appliquer des correctifs, il faut aussi créer les correctifs eux-mêmes. Nous verrons dans les semaines et les mois à venir si les délais modestes accordés par le projet Glasswing laisseront suffisamment de temps aux fournisseurs pour créer des correctifs, en particulier s'il y en a un grand nombre. La sortie de Mythos est en suspens pour le moment, mais Anthropic ne va pas s'asseoir dessus indéfiniment".
En fin de compte, le débat autour d'Anthropic Mythos porte moins sur l'exactitude des affirmations que sur ce qu'elles représentent. L'IA est en train de remodeler la cybersécurité à un niveau fondamental. Les organisations qui réussiront seront celles qui s'adapteront rapidement, en développant à la fois la capacité de tirer parti de l'IA et les contrôles pour la gérer efficacement.
Comme le dit Richard :
"Toute organisation qui ne met pas en place une cyberdéfense axée sur l'IA prendra du retard et se retrouvera directement dans la ligne de mire des attaquants."
Si les affirmations autour de Mythos sont exagérées, le besoin de contrôle, lui, ne l'est pas.
les fondamentaux de la cybersécurité ont encore de l'importance à l'ère de l'IA
L'importance de la mise en œuvre des principes fondamentaux s'en trouve renforcée. L'application régulière de mises à jour de sécurité, des contrôles d'accès stricts, une configuration sécurisée et une journalisation complète restent essentiels. La protection contre les menaces courantes reste le fondement d'une cybersécurité efficace, que ces menaces soient assistées par l'IA ou non. Les organisations qui intègrent ces principes de base, tout en développant des capacités de cyberdéfense basées sur l'IA, seront les mieux placées pour rester résilientes face à l'évolution du paysage des menaces.
Si vous avez besoin d'aide pour répondre à vos besoins en matière de cybersécurité, contactez les experts d'Integrity360 dès aujourd'hui.
