Aller au contenu principal
Le Fil IA
Le Fil IAL'actu IA, décodée
Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos
SécuritéNext INpact1h

Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

1 source couvre ce sujet·Source originale ↗·

Mozilla a annoncé cette semaine que Firefox 150 intègre des correctifs pour 271 vulnérabilités de sécurité, toutes identifiées par Claude Mythos, le dernier modèle d'Anthropic. Ce résultat est issu du projet Glasswing, une initiative d'Anthropic qui donne accès à Mythos à une quarantaine d'entreprises et d'organisations partenaires pour détecter les failles dans leurs logiciels. Mozilla fait partie de ce cercle restreint. L'ampleur du chiffre tranche radicalement avec ce qui avait été accompli auparavant : lorsque Firefox avait utilisé Claude Opus 4.6 pour la version 148 du navigateur, le modèle n'avait alors repéré que 22 vulnérabilités. Avec Mythos, le bond est d'un facteur douze en une seule génération de modèle. Bobby Holley, directeur technique de Firefox, parle de « vertige » face à ce volume, soulignant qu'en 2025, une seule de ces failles aurait suffi à déclencher une alerte maximale.

L'impact est considérable pour la sécurité des 150 millions d'utilisateurs de Firefox dans le monde, et plus largement pour toute l'industrie du logiciel. Holley rappelle que les attaquants opèrent avec un avantage asymétrique structurel : il leur suffit de trouver une seule brèche, tandis que les défenseurs doivent couvrir une surface d'attaque bien plus large. Jusqu'ici, les méthodes classiques, outils automatisés, audits internes, bug bounty, permettaient de réduire le risque sans jamais l'éliminer, d'autant que ces mêmes outils sont accessibles aux acteurs malveillants. Avec Mythos, Mozilla affirme n'avoir identifié « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent détecter et que le modèle ne serait pas capable de repérer. Pour Holley, « les défenseurs ont maintenant une chance de l'emporter, de manière décisive ».

Cet épisode s'inscrit dans une évolution plus profonde du rapport entre IA et cybersécurité. Depuis plusieurs années, Mozilla, comme d'autres grands éditeurs, cherche à industrialiser la détection de failles dans des bases de code héritées, notamment des millions de lignes de C++ qu'il est impossible de réécrire rapidement. L'objectif affiché était de faire monter le coût d'exploitation d'une faille pour les attaquants professionnels jusqu'à le rendre prohibitif. Anthropic, de son côté, positionne Glasswing comme une réponse structurelle à la menace IA offensive : si des modèles puissants peuvent être utilisés pour trouver des failles, autant que les défenseurs y aient accès en premier. Holley reste prudent sur un point : il ne croit pas que les prochains modèles découvriront des vulnérabilités hors de portée de la compréhension humaine, Firefox étant conçu pour que le code reste vérifiable par des experts. La vraie question, désormais, est de savoir si les équipes de développement sauront absorber le rythme des correctifs que l'IA rend possible.

Impact France/UE

Les utilisateurs européens de Firefox bénéficient directement des 271 correctifs de sécurité, et cette démonstration d'audit massif par IA pourrait devenir une référence pour les exigences du Cyber Resilience Act européen imposant des standards de cybersécurité aux éditeurs de logiciels.

À lire aussi

Le modèle d'IA le plus dangereux d'Anthropic vient de tomber entre de mauvaises mains
1The Verge 

Le modèle d'IA le plus dangereux d'Anthropic vient de tomber entre de mauvaises mains

Un groupe restreint d'utilisateurs non autorisés a réussi à accéder à Mythos, le modèle d'intelligence artificielle cybersécurité d'Anthropic, selon une enquête de Bloomberg publiée en avril 2026. L'accès aurait été obtenu grâce à un sous-traitant tiers d'Anthropic, qui a permis à des membres d'un forum privé en ligne d'exploiter ses accréditations combinées à des outils de recherche ouverts sur internet. Claude Mythos Preview est un modèle nouvelle génération capable d'identifier et d'exploiter des failles de sécurité dans tous les grands systèmes d'exploitation et navigateurs web du marché. L'incident est particulièrement préoccupant car Anthropic avait elle-même qualifié Mythos de modèle "dangereux entre de mauvaises mains", justifiant ainsi un accès strictement limité et contrôlé. Un outil capable de cartographier et d'exploiter des vulnérabilités à l'échelle de Windows, macOS, Chrome ou Firefox représente une menace concrète s'il est utilisé à des fins malveillantes, que ce soit pour des cyberattaques ciblées, du vol de données ou des opérations d'espionnage industriel. Cet accès non autorisé illustre une tension centrale dans le développement des modèles d'IA à double usage: plus les capacités cybersécurité sont avancées, plus les risques de détournement augmentent. Anthropic fait partie des rares laboratoires à avoir instauré des restrictions d'accès explicites pour ses modèles les plus sensibles, une approche que l'incident remet en question. La fuite via un sous-traitant soulève aussi des interrogations sur les pratiques de gestion des accès au sein des grands laboratoires d'IA, où la chaîne de confiance s'étend bien au-delà des équipes internes.

UELes administrations et entreprises françaises et européennes utilisant Windows, macOS ou les navigateurs Chrome et Firefox sont potentiellement exposées à des cyberattaques plus sophistiquées si les capacités du modèle Mythos venaient à être exploitées par des acteurs malveillants.

SécuritéActu
1 source
Mythos d'Anthropic attise les craintes en cybersécurité : quelles implications pour la Chine ?
2SCMP Tech 

Mythos d'Anthropic attise les craintes en cybersécurité : quelles implications pour la Chine ?

Le 7 avril 2026, Anthropic a dévoilé Claude Mythos Preview, son nouveau modèle d'intelligence artificielle, en restreignant délibérément son accès à un consortium sélectionné plutôt qu'en le rendant public. Cette décision inhabituelle s'explique par les capacités inédites du modèle à identifier et exploiter des failles de cybersécurité avec une précision et une autonomie qui ont immédiatement alerté gouvernements et régulateurs à travers le monde. C'est la première fois qu'un lancement de modèle d'IA provoque une réaction politique aussi rapide et coordonnée à l'échelle internationale. L'inquiétude est fondée : un système capable de cartographier et d'attaquer des infrastructures numériques sans intervention humaine représente un changement de nature dans la menace cyber, et non simplement de degré. Pour les entreprises, les États et les opérateurs d'infrastructures critiques, Mythos introduit un risque asymétrique majeur : ceux qui y ont accès disposent d'un avantage offensif considérable sur ceux qui n'en bénéficient pas. La restriction d'accès choisie par Anthropic est autant une précaution qu'un signal envoyé aux régulateurs. La question de la Chine se pose immédiatement dans ce contexte. La rivalité technologique sino-américaine s'articule de plus en plus autour des modèles frontier, et Mythos représente un écart de capacité potentiellement significatif si Pékin ne dispose pas d'équivalent. Les États-Unis contrôlent déjà les puces Nvidia via les restrictions d'export ; un modèle offensif de cette puissance, conservé sous embargo partiel, devient un levier géopolitique supplémentaire dont les implications dépassent largement le seul domaine de la cybersécurité.

UELes opérateurs d'infrastructures critiques européens et les régulateurs (ANSSI, ENISA, AI Office) devront réévaluer leur posture défensive face à un modèle offensif cyber de cette puissance auquel les acteurs européens pourraient ne pas avoir accès.

SécuritéOpinion
1 source
Deepfakes : YouTube dégaine une arme inédite pour protéger les célébrités
3Le Big Data 

Deepfakes : YouTube dégaine une arme inédite pour protéger les célébrités

YouTube a annoncé le 21 avril 2026 l'extension de son outil de détection de ressemblance par intelligence artificielle à l'ensemble de l'industrie du divertissement. L'annonce a été faite directement par Neal Mohan, PDG de YouTube, qui a confirmé des partenariats avec plusieurs grandes agences de talent hollywoodiennes, dont CAA, United Talent Agency, WME et Untitled Management. Le système analyse automatiquement les vidéos mises en ligne sur la plateforme afin d'identifier les contenus qui reproduisent artificiellement le visage d'une personnalité inscrite. Les célébrités éligibles peuvent s'inscrire via ces agences partenaires en fournissant simplement une pièce d'identité et une vidéo selfie. Une fois enregistrées, elles accèdent à un tableau de bord listant les contenus détectés et peuvent soumettre des demandes de suppression. Point notable : la protection s'applique même aux artistes ne possédant pas de chaîne YouTube. L'enjeu est considérable dans un contexte où les deepfakes sont devenus techniquement indiscernables de vidéos authentiques. Pour les personnalités publiques, ce type de contenu représente une menace directe : détournement d'image, atteinte à la réputation, propagation de fausses déclarations en quelques heures. Disposer d'un outil de surveillance automatisée et gratuit change concrètement la donne, en permettant une intervention rapide avant qu'une vidéo problématique ne devienne virale. YouTube ne supprime pas systématiquement tous les contenus signalés : la plateforme applique ses règles existantes de confidentialité et de copyright, maintenant des exceptions pour la satire et la parodie, ce qui évite une censure aveugle tout en limitant les usages malveillants. La technologie n'est pas nouvelle pour YouTube : la plateforme la testait depuis 2025 d'abord avec des créateurs de contenu, avant de l'étendre progressivement aux journalistes et responsables politiques. Le déploiement à Hollywood marque une montée en puissance significative, au moment où la prolifération des outils d'IA génératives rend la création de deepfakes accessible à n'importe qui. Cette initiative s'inscrit dans une pression croissante sur les grandes plateformes pour mieux réguler les contenus synthétiques, une problématique que le Congrès américain et plusieurs législateurs européens cherchent à encadrer légalement. Des voix critiques soulèvent déjà le risque de faux positifs, notamment pour des vidéos de fans ou des parodies légitimes, mais YouTube indique que les taux de suppression lors des phases de test sont restés faibles. La question de la scalabilité, lorsque des milliers d'artistes rejoindront le système, reste entière.

UEL'outil est pour l'instant limité aux agences de talent hollywoodiennes américaines, mais la pression réglementaire européenne sur les contenus synthétiques pourrait contraindre YouTube à étendre ce dispositif aux personnalités françaises et européennes.

SécuritéOpinion
Aussi surSiècle Digital
Mozilla : l'outil Mythos d'Anthropic a découvert 271 failles zero-day dans Firefox 150
4Ars Technica AI 

Mozilla : l'outil Mythos d'Anthropic a découvert 271 failles zero-day dans Firefox 150

Mozilla a annoncé mardi que le modèle Mythos Preview d'Anthropic avait détecté 271 vulnérabilités zero-day dans le code source de Firefox 150 avant même sa sortie officielle cette semaine. Ces failles ont été identifiées par simple analyse statique du code non publié, sans exécution du logiciel. À titre de comparaison, le modèle précédent d'Anthropic, Claude Opus 4.6, n'avait repéré que 22 bugs liés à la sécurité lors de l'analyse de Firefox 148 le mois dernier. Le CTO de Firefox, Bobby Holley, s'est montré enthousiaste dans un billet de blog, affirmant que ce résultat marque un tournant dans la bataille permanente entre attaquants et défenseurs : "les défenseurs ont enfin une chance de gagner, de façon décisive." L'écart entre 22 et 271 vulnérabilités détectées en l'espace d'un mois illustre une accélération brutale des capacités des modèles spécialisés en cybersécurité. Pour les éditeurs de logiciels, cela signifie qu'un outil d'IA peut désormais parcourir des millions de lignes de code et signaler des failles exploitables avant qu'elles n'atteignent les utilisateurs, réduisant considérablement la fenêtre d'exposition. Holley n'a pas précisé la gravité des 271 vulnérabilités identifiées, mais leur volume seul suggère que Mythos opère à une échelle inaccessible aux équipes de sécurité humaines dans des délais comparables. Anthropic avait lancé Mythos Preview début avril en le réservant à "un groupe limité de partenaires industriels critiques", suscitant un débat sur la nature réelle du modèle : percée technique ou communication marketing soignée. Les résultats obtenus par Mozilla apportent une réponse concrète, mais soulèvent aussi des questions symétriques : si Mythos peut trouver 271 failles dans Firefox en quelques heures, des acteurs malveillants disposant d'un accès similaire pourraient faire de même. La course entre red teams et blue teams risque donc de s'accélérer, avec des modèles d'IA comme arbitres d'un nouvel équilibre encore incertain.

UEFirefox étant le navigateur le plus utilisé en Europe après Chrome, la capacité de Mythos à détecter massivement des failles zero-day avant déploiement réduit directement l'exposition des millions d'utilisateurs européens, tout en soulevant le risque symétrique qu'un accès similaire par des acteurs malveillants accélère les attaques ciblant le marché européen.

SécuritéOpinion
1 source