Anthropic et Mythos : pourquoi une menace pour les banques s'est rapidement transformée en risque pour tous

Anthropic a lancé Mythos comme un modèle dangereux de mettre en accès libre, et a ainsi déplacé la conversation sur l'IA du plan de « est-ce plus pratique de travailler » au plan de « avons-nous le temps de nous protéger ». À première vue, la préoccupation semble être une histoire réservée aux banques : après l'annonce, le secrétaire du Trésor américain Scott Bessent a réuni les dirigeants de Wall Street et a exigé l'assurance que leurs systèmes sont prêts pour une nouvelle vague de risques cybernétiques. Mais la conclusion la plus désagréable est différente : si même les organisations disposant des périmètres informatiques les plus protégés du monde sont nerveuses à propos d'un tel modèle, alors pour des milliers d'entreprises ordinaires, la menace est encore plus grande.

Selon la description et les premières évaluations, Mythos diffère effectivement des modèles massifs familiers comme ChatGPT ou Gemini précisément dans les scénarios cybernétiques. Les recherches citées dans le matériel montrent que le modèle est mieux adapté aux attaques complexes et est particulièrement dangereux pour les systèmes simplifiés, « mal protégés ». En même temps, l'accès à celui-ci est recherché non seulement par les grandes entreprises mais aussi par des structures étatiques : parmi les premières organisations ayant accès se trouve l'Institut britannique de sécurité de l'intelligence artificielle, et le Trésor américain insiste également sur la connexion.

Le simple fait d'un tel intérêt montre qu'il ne s'agit plus de démontrer la puissance d'une autre IA, mais d'un outil qui peut changer l'équilibre entre l'attaque et la défense. Le problème revient à l'ancien modèle de réponse aux vulnérabilités. Pendant de nombreuses années, le marché a vécu selon un schéma de divulgation responsable : le fournisseur trouve une faille, publie les détails, publie un correctif, et les clients testent tranquillement la mise à jour et la déploient sur toute l'infrastructure.

Microsoft lui-même a transformé cela en un processus régulier, connu sous le nom de Patch Tuesday. Dans les grandes banques comme Barclays ou Wells Fargo, les corrections suivent un long parcours : vérification, coordination, évaluation des risques pour les systèmes d'exploitation et ensuite seulement la mise en œuvre. Avant, cela fonctionnait parce que les attaquants avaient aussi besoin de temps pour étudier la description du bug, trouver une méthode d'exploitation et amener l'attaque à un état opérationnel.

L'IA générative, puis les modèles d'agents, ont commencé à casser cette logique. Maintenant, un système peut non seulement lire des publications sur les vulnérabilités, mais aussi chercher des failles similaires dans le code ouvert, essayer des variantes d'attaque et relier plusieurs petites erreurs en une attaque multi-étapes. De ce fait, la fenêtre de défense se rétrécit fortement.

Selon zerodayclock.com, le temps moyen entre la découverte d'une vulnérabilité et l'apparition d'un exploit fonctionnel est passé de 771 jours en 2018 à moins de quatre heures aujourd'hui. C'est là qu'il devient clair pourquoi la panique autour de Mythos ne devrait pas se limiter à Wall Street.

Les pirates informatiques de « chapeau noir » n'ont jamais particulièrement aimé attaquer les banques, où il existe un haut niveau de contrôle et une protection multicouche. Il est beaucoup plus rentable d'attaquer les hôpitaux, les sous-traitants, les services régionaux ou un petit magasin avec une infrastructure mal configurée et de demander une rançon. Si des modèles comme Mythos abaissent la barrière à l'entrée pour de telles attaques et accélèrent leur préparation, alors la zone principale de risque se déplace vers où il y a moins de personnes, moins de budget et presque pas de temps pour réagir.

En même temps, l'histoire renforce l'aura d'Anthropic elle-même en tant que l'entreprise qui a d'abord désigné publiquement une nouvelle limite de danger. La question principale maintenant n'est pas qui exactement aura accès à Mythos, mais si la vitesse antérieure de la défense cybernétique est viable. S'il ne reste que quelques heures entre la divulgation d'une vulnérabilité et une véritable attaque, les cycles de correctifs mensuels commencent à perdre leur sens.

Les banques pourraient être en mesure de passer à des mises à jour presque continues, à une vérification automatisée et à une gestion des changements plus stricte. Les petites et moyennes entreprises sans services de protection bon marché, sans nouvelles exigences des fournisseurs et probablement sans aide réglementaire auront beaucoup plus de mal. C'est pourquoi Mythos est important non pas comme un autre modèle spectaculaire, mais comme un avertissement : l'ère où l'on donnait des semaines et des mois pour corriger les erreurs est en train de se terminer.