Les fintechs indiens demandent l'accès au Mythos d'Anthropic en raison des risques de cybersécurité

Les entreprises fintech indiennes cherchent à accéder à Claude Mythos avant son lancement public non pas par curiosité, mais pour des raisons défensives. Pour les acteurs gérant les paiements, les crédits et d'énormes volumes de données clients, le nouveau modèle d'Anthropic ne ressemble pas à une nouvelle IA ordinaire, mais plutôt à un outil capable de réduire considérablement le délai entre la découverte d'une vulnérabilité et une attaque réelle. Par conséquent, les demandes d'accès anticipé signifient simplement ceci : vérifier sa propre infrastructure avant que quelqu'un d'autre ne le fasse. Sur un tel marché, même quelques heures d'avance peuvent être importantes quand il s'agit de passerelles de paiement, de systèmes anti-fraude et d'intégrations bancaires.

Parmi les entreprises cherchant l'accès se trouvent One97 Communications, Razorpay et Pine Labs. Leur logique est claire : si Mythos excelle vraiment à trouver des points faibles mieux que la plupart des spécialistes, alors les grandes plateformes financières bénéficient davantage de l'utiliser pour des audits internes plutôt que d'attendre l'apparition de capacités similaires entre les mains d'acteurs malveillants. Selon le responsable d'One97, la conversation avec Anthropic a porté non seulement sur les délais d'accès mais aussi sur comment exactement l'entreprise prévoit de déployer le modèle, indiquant un contrôle strict des utilisateurs.

Anthropic n'a pas l'intention d'ouvrir Mythos à tous. Au lieu de cela, l'entreprise a lancé Project Glasswing, un programme contrôlé qui inclut les principaux acteurs de la technologie et de la cybersécurité, notamment Amazon Web Services, Microsoft, Apple, Google, NVIDIA, Cisco, CrowdStrike et JPMorganChase. Plus de 40 organisations supplémentaires responsables d'infrastructures logicielles critiques ont reçu un accès limité pour les tâches défensives. Anthropic a alloué jusqu'à 100 millions de dollars en crédits pour l'utilisation du modèle et 4 millions de dollars supplémentaires en soutien direct aux organisations de sécurité open-source via ce programme.

La raison d'une telle prudence découle des capacités déclarées du modèle. Anthropic affirme directement que le modèle a atteint un niveau où il surpasse presque tous, sauf les spécialistes les plus forts, dans la découverte et l'exploitation de vulnérabilités logicielles. Selon l'entreprise, Mythos Preview a déjà découvert des milliers de vulnérabilités de haute criticité, notamment dans tous les systèmes d'exploitation majeurs et tous les navigateurs web majeurs. Ce n'est pas simplement un audit statique du code : le modèle est utilisé pour rechercher des problèmes zero-day, tester les binaires en boîte noire, améliorer la protection des points de terminaison et effectuer des tests de pénétration complets.

L'entreprise affirme que certains des problèmes découverts sont restés inaperçus pendant des années, et dans plusieurs cas, le modèle non seulement pouvait identifier le bogue mais aussi fournir un chemin d'exploitation fonctionnel. Les rapports d'Anthropic déclarent également que lors de la vérification manuelle, les experts ont été d'accord avec l'évaluation de la gravité des vulnérabilités du modèle dans 89% des 198 cas examinés, et dans 98% ils n'étaient pas plus d'un niveau de différence.

Pour les banques et le fintech, c'est particulièrement sensible : leur pile est généralement complexe, interconnectée avec des partenaires et repose souvent sur des composants hérités qu'il est difficile de mettre à jour rapidement sans risque commercial.

Le marché indien a réagi rapidement. L'association d'autorégulation FACE, qui regroupe plus de 275 entreprises de l'écosystème et est reconnue par la RBI, a recommandé aux participants de renforcer la protection, d'accélérer les correctifs des vulnérabilités connues, d'établir une surveillance continue et de signaler immédiatement les incidents suspects aux régulateurs. Pour l'industrie, ce n'est pas une menace abstraite : la fintech en Inde a grandi sur un réseau dense d'API, d'applications mobiles, de services de paiement et d'intégrations tierces, ce qui signifie qu'une chaîne d'exploitation réussie peut se propager rapidement parmi plusieurs acteurs du marché.

Dans ce contexte, les demandes d'accès à Mythos ne semblent pas être des tentatives d'obtenir un avantage concurrentiel, mais plutôt une mesure d'alerte précoce. Des préoccupations similaires sont déjà visibles au-delà de l'Inde : aux États-Unis et au Royaume-Uni, les régulateurs, les banques centrales et les grandes banques ont séparément discuté de la manière dont de tels modèles pourraient accélérer les cyberattaques complexes plus rapidement que le marché ne peut reconstruire ses défenses.

L'essentiel est que des modèles comme Mythos changent fondamentalement l'économie de la cybersécurité. Auparavant, trouver des vulnérabilités profundes nécessitait une expertise rare, des semaines de travail et des équipes coûteuses ; désormais, ce processus peut se compresser en heures et s'étendre bien plus largement. Pour le fintech, cela signifie une nouvelle course : la défense doit utiliser les mêmes outils qui renforcent potentiellement les attaquants.

Plus tôt les grandes plateformes de paiement pourront tester leurs systèmes en mode défensif, plus grandes seront les chances de réduire la fenêtre de vulnérabilité. Mais simultanément, une autre question grandit : si l'accès à de tels systèmes reste limité à un cercle restreint d'entreprises et d'états, la ressource stratégique ne sera plus seulement le capital ou les données, mais la capacité même de trouver des points faibles dans l'infrastructure financière numérique plus vite que quiconque.