Y2KKK

250 responsables de la sécurité des systèmes d’information viennent de cosigner, en urgence, un rapport afin d’anticiper la potentielle déferlante de failles et de correctifs de sécurité que la cinquantaine de bêta-testeurs de Mythos Preview, l’IA spécialisée dans la cybersécurité, pourraient identifier dans les trois prochains mois.

L’annonce de Mythos Preview, l’IA dédiée à la cybersécurité d’Anthropic, résulte des progrès fulgurants enregistrés ces dernières années, et semblant en l’état privilégier les attaquants, comme indiqué dans le premier volet de notre série. Le second tempérait cela dit quelque peu les promesses associées à ses capacités d’identification des vulnérabilités.

• La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)
• En matière de cybersécurité, l’IA est un remède, mais aussi un poison (2/3)

Anthropic ayant précisé qu’il annoncera dans un délai de 90 jours les résultats des vulnérabilités identifiées par la cinquantaine d’entreprises et organismes du projet Glasswing habilités à accéder à Mythos Preview, 250 professionnels de la cybersécurité ont cosigné, en urgence, un rapport tentant d’anticiper ce que les IA agentiques en général, et Mythos Preview en particulier, étaient susceptibles de modifier.

Y figurent notamment Jen Easterly, ex-directrice de la CISA (l’ANSSI US), Chris Inglis, ex-directeur adjoint de la NSA puis premier National Cyber Director des États-Unis, ou encore Rob Joyce, ex-patron de Tailored Access Operations (TAO, l’unité de hacking offensif de la NSA, dont il devient ensuite le directeur de la cybersécurité), ainsi que de nombreux cosignataires de zerodayclock.com, le « Call to action » mentionné dans le premier article de notre série.

Le communiqué de presse précise que le rapport a été rédigé « en un seul week-end » par plus de 60 contributeurs, puis relu par plus de 250 responsables de la sécurité des systèmes d’information (RSSI, CISO en anglais).

Intitulé « La “tempête de vulnérabilités liées à l’IA” : créer un programme de sécurité “Mythosready” », leur rapport, publié par le SANS Institute et la Cloud Security Alliance (CSA), s’adresse à ceux « qui doivent se présenter lundi matin avec un plan crédible » (il avait été mis en ligne ce dimanche 12 avril, dans la foulée de l’annonce de Mythos Preview, le 7).

Il « présente les mesures immédiates, les priorités à court terme et les changements à long terme nécessaires pour évoluer dans un monde où les attaques basées sur l’IA constituent désormais la norme ».

Le rapport fait d’abord et avant tout état de l’« escalade rapide des capacités offensives de l’IA au cours de l’année écoulée ». L’analyse de zerodayclock.com, que nous détaillons dans le premier volet de notre série, montre en effet que le délai moyen entre la divulgation d’une vulnérabilité et la confirmation de son exploitation est tombé de 2,3 ans en 2019 à moins d’un jour en 2026.

Signe de l’accélération en cours, ce délai moyen était de 1,6 jour début mars, de 20 h mi-avril lors de la publication de notre recension de zerodayclock.com, et vient de tomber à 10 h une semaine plus tard…

De 2 bugs/semaine identifiés par IA dans le kernel Linux à 10/jour

Si le rapport reprend l’analyse de zerodayclock.com, il dresse aussi une autre chronologie de l’évolution des capacités offensives basées sur les LLM depuis l’an passé. En juin 2025, XBOW devenait ainsi le premier système autonome à prendre la tête du classement du programme de bug bounty de HackerOne, dépassant tous les hackers humains.

En août, l’IA Big Sleep de Google identifiait 20 vulnérabilités « zero days » dans des programmes open source, et le challenge AIxCC (pour Artificial Intelligence Cyber Challenge) de la DARPA permettait d’identifier 54 vulnérabilités dans 54 millions de lignes de code en quatre heures seulement.

En janvier 2026, l’agent autonome de aisle.com identifiait 12 failles « zero day » dans OpenSSL, dont une datant de 1998. Sysdig, où travaille aujourd’hui Sergej Epp, l’auteur de zerodayclock.com, documentait une attaque permettant à une IA de devenir admin en huit minutes. En février, Anthropic, utilisant Claude Opus 4.6, signalait plus de 500 vulnérabilités de haute gravité dans des logiciels open source.

L’an passé, les rapports de failles et bugs identifiés par IA dans le kernel Linux passaient de 2 à 10 par semaine, puis de 5 à 10 par semaine, tous vérifiés, alors qu’ils étaient initialement refusés du fait de leurs « hallucinations », s’étonne le Français Willy Tarreau sur lwn.net :

« Et nous constatons désormais quotidiennement un phénomène qui ne s’était jamais produit auparavant : des rapports en double, ou le même bug signalé par deux personnes différentes utilisant des outils (peut-être légèrement) différents. »

Une explosion du nombre de CVE et un nombre record de vulnérabilités