Ça sent la grosse rupture de paradigme à plein nez — ce que certains appellent déjà le « moment Mythos » —, et si le secrétaire d’État à l’Économie aux US a convoqué les fournisseurs d’IA pour avoir un état des lieux, ce n’est pas pour rien. Pour l’instant, Mythos n’est fourni qu’à une poignée de happy few — entreprises de sécu pour la plupart —, mais vous savez très bien comment se termine ce genre d’histoire : à la fin, des gamins de 15 ans disposent du truc sur leurs PC !

Que Mythos soit verrouillé pour le moment ne fait que repousser l’inéluctable : ce que les ingénieurs d’Anthropic ont fait, ceux de DeepSeek — ou d’autres — le feront dans moins de six mois, et ne s’embarrasseront pas des mêmes doutes philosophiques ou moraux. Donc OUT.

J’ai eu la chance de pouvoir échanger à bâton rompu avec le Vice-President EMEA d’un acteur majeur de la cyber sur l’impact de Mythos, et les thèmes développés sont passionnants. Tentative de synthèse d’une discussion qui devait durer 30 minutes et qui en a pris le double, avec une très forte densité de sujets traités, et qui synthétise en partie la vision de cet interlocuteur sur cette question.

— Début de synthèse des propos recueillis —

La clé du questionnement tient en un chiffre : dans les technologies précédentes, les évolutions d’une génération à l’autre restaient faibles. D’une année sur l’autre, Apple annonce une puissance de 17 % de plus de ses processeurs, 14 % de luminosité en plus de ses écrans, etc. Là, dans le monde de l’IA, on voit des ruptures techniques apparaître tous les six mois, avec des gaps frôlant parfois les 50 %. On est dans l’exponentiel plus plus plus, et dans un tel monde, toute prévision devient très fragile.

On a donc une fenêtre de tir très courte — quelques mois tout au plus — avant que l’humain ne soit largement sorti d’une partie de la chaîne d’attaque : tout sera LLM et agentique combiné. Or, jusqu’à avant-hier, les ingés cyber détectaient et corrigeaient les failles le plus vite possible avant que les attaquants ne s’en emparent, mais les cycles de détection / correction / diffusion se chiffraient en jours, voire en semaines pour les failles les moins critiques.

Dit autrement, Mythos introduit un risque existentiel chez les acteurs de la cyber : les cycles d’attaque se chiffrent maintenant en heures, alors que les cycles de correction se chiffrent toujours en jours ou en semaines. Les acteurs de la cyber vont eux aussi utiliser Mythos pour détecter des failles dare-dare. Mais pour les corriger aussi rapidement que l’adversaire les voit, c’est tout le cycle de correction qui est percuté : or ce cycle est un processus industriel lourd. Sans modification, à l’arrache et dans l’urgence, d’un processus industriel intrinsèquement lourd — il faut bien qualifier les évolutions du code —, Darwin s’appliquera à ceux qui n’auront pas franchi cette marche.

Ce n’est pas la première fois que les acteurs de la cyber subissent des ruptures aussi importantes : que l’on songe, par exemple, à l’évolution des antivirus de première génération vers des combos EDR/SOC.

— Fin de la synthèse —

À titre personnel, je pense que les acteurs de la cyber vont s’en sortir, comme à chaque fois — même s’il y aura un peu de casse, comme à chaque fois. Mais la suite de ce raisonnement est encore plus inquiétante.

La première faille, c’est presque toujours ce qui est exposé. Dans l’immense majorité des cas, un attaquant qui compromet un AD interne s’est bien, à un moment donné, introduit dans le système par une porte non protégée. En gros, on parle de nos DMZ — au sens large — et des applis en SaaS. Et cela en fait beaucoup.

Et si déjà les acteurs de la cyber qui ont identifié ce risque touchant leur processus de production vont suer bits et octets pour s’adapter aussi vite que possible, je ne vous raconte pas l’état de l’écosystème SaaS ou éditeurs que j’ai en face de moi. Je suis toujours en train d’expliquer à certains que non, le MFA n’est pas une technique du tantrisme hindou, et que non, on ne met pas le password admin en dur dans le code — j’exagère à peine.

Modifier dans l’urgence le processus de production ? Lol, qui rit sort : il faudrait déjà qu’ils aient un processus, voire qu’ils connaissent le sens du mot.

Et quand bien même : quand on va commencer à tester les vulnérabilités de toute la chaîne de composants et de libraries utilisées — je mets au défi n’importe quelle équipe de dev de m’en faire la liste, incluant bien entendu les libs externes appelées par les libs utilisées, sinon ce n’est pas drôle —, ça va piquer les yeux.

Si j’étais un assureur cyber, je reverrais en urgence mes CG de contrat des acteurs SaaS — non, en fait, j’arrêterais de les assurer. Si j’étais un fournisseur de SOC, je rebalaierais ligne à ligne mon business plan — ils seront parmi les premières victimes. Et si j’étais les entreprises utilisatrices, j’envisagerais sérieusement de diminuer la surface exposée sur le Web — ça va être rock’n’roll dans les réunions internes avec les MOA.

On va bientôt être nostalgiques de la fuite de données ANTS piratée par un gamin de 15 ans utilisant une faille de la décennie précédente.