GPT-5.5 : OpenAI offre 25 000 $ à ceux qui réussiront à le pirater

OpenAI lance GPT-5.4 Cyber : le coup de grâce porté à Anthropic

OpenAI a dévoilé le 14 avril 2026 GPT-5.4-Cyber, une version spécialisée de son modèle GPT-5.4 fine-tunée pour les usages de cybersécurité défensive. Ce nouveau modèle ne sera pas accessible au grand public : seuls les chercheurs, experts du domaine et organisations vérifiées pourront y accéder via un programme baptisé Trusted Access for Cyber (TAC), qui fonctionne par niveaux d'accréditation progressifs. Sa capacité la plus remarquable est l'analyse de logiciels compilés sans accès au code source, l'IA peut examiner un programme inconnu, détecter des comportements suspects, identifier des vulnérabilités, ou disséquer des malwares et logiciels espions pour en comprendre les mécanismes internes. Des opérations que les versions grand public de ChatGPT refusent d'effectuer. OpenAI précise que GPT-5.4-Cyber servira également de socle pour de futures versions encore plus avancées, déjà en préparation. L'impact concret se joue d'abord pour les équipes de sécurité des entreprises et les professionnels chargés de protéger des infrastructures critiques. En automatisant l'analyse de binaires et la détection de failles, un tel outil peut réduire considérablement le temps nécessaire pour répondre à une menace ou auditer un système. Le programme TAC prévoit d'élargir progressivement l'accès à un large réseau de professionnels vérifiés, ce qui distingue l'approche d'OpenAI d'un outil purement centralisé. Pour le secteur de la cybersécurité, l'enjeu est double : d'un côté, un gain de productivité substantiel pour les défenseurs ; de l'autre, une question de gouvernance sur qui contrôle ces capacités et comment éviter les détournements offensifs. Cette annonce s'inscrit dans une bataille de positionnement directe avec Anthropic, qui venait de présenter Claude Mythos, son propre modèle orienté cybersécurité, capable d'identifier des vulnérabilités et d'explorer des scénarios d'exploitation. La différence stratégique est notable : là où Anthropic réserve Claude Mythos à un cercle fermé de grands acteurs tech comme Amazon, Google ou Microsoft, OpenAI opte pour une approche plus distribuée via le TAC, accessible à un plus grand nombre d'organisations à condition qu'elles prouvent leur légitimité. OpenAI a par ailleurs mis en pause certaines initiatives comme le projet Sora pour concentrer ses ressources sur les usages professionnels, notamment le développement logiciel et la sécurité informatique. La course aux modèles spécialisés pour la cybersécurité s'accélère, et les deux leaders du secteur ont désormais chacun une offre en lice, avec des philosophies d'accès sensiblement différentes.

OpenAI ouvre l'accès à GPT-5.5-Cyber aux chercheurs en sécurité accrédités

OpenAI lance GPT-5.5-Cyber, une variante spécialisée de son modèle phare conçue pour les professionnels de la cybersécurité. Contrairement aux modèles grand public, GPT-5.5-Cyber accepte une proportion bien plus large de requêtes liées à la sécurité offensive et peut exécuter activement des exploits contre des serveurs de test. L'accès est pour l'instant restreint à un cercle limité de chercheurs et d'entreprises vérifiées, parmi lesquelles Cisco, CrowdStrike et Cloudflare, toutes positionnées comme défenseurs d'infrastructures critiques. Ce modèle représente un tournant dans la façon dont les grands laboratoires d'IA abordent la sécurité informatique. En donnant aux équipes défensives un outil capable de simuler des attaques réelles, OpenAI cherche à accélérer la détection de vulnérabilités dans des systèmes sensibles avant que des acteurs malveillants ne les exploitent. L'impact potentiel est considérable pour les secteurs bancaire, énergétique et des télécommunications, dont les infrastructures sont des cibles prioritaires. Ce lancement s'inscrit dans une compétition directe avec Anthropic, dont le modèle Mythos Preview cible le même segment de la cybersécurité professionnelle. Les deux laboratoires cherchent à s'imposer auprès des grandes entreprises et des agences gouvernementales en proposant des modèles capables d'assister les équipes red team et blue team. La question de la gouvernance reste centrale : comment garantir que ces outils ne tombent pas entre de mauvaises mains, même avec un processus de vérification strict à l'entrée.

💬 Un LLM qui exécute des exploits contre des serveurs de test, c'est exactement ce que les équipes red team demandaient depuis des années. L'accès reste ultra-restreint, et la liste Cisco/CrowdStrike/Cloudflare ressemble plus à une vitrine qu'à un déploiement réel pour l'instant. Reste à voir comment OpenAI va tenir ce périmètre quand la pression commerciale va monter.

OpenAI élargit l'accès à GPT-5.4-Cyber, un modèle affiné pour les professionnels de la cybersécurité

OpenAI a annoncé l'extension de son programme Trusted Access for Cyber (TAC) à des milliers de professionnels de la sécurité vérifiés individuellement, ainsi qu'à des centaines d'équipes chargées de défendre des infrastructures logicielles critiques. Au cœur de cette expansion figure GPT-5.4-Cyber, un modèle dérivé de GPT-5.4 spécifiquement ajusté pour les usages défensifs en cybersécurité. Contrairement au modèle standard, GPT-5.4-Cyber adopte ce qu'OpenAI qualifie d'approche "cyber-permissive" : son seuil de refus est délibérément abaissé pour les requêtes à vocation défensive légitime. Parmi les capacités débloquées figure notamment l'ingénierie inverse de binaires sans accès au code source, une fonctionnalité majeure pour analyser des firmwares, des bibliothèques tierces ou des échantillons de malwares compilés. Les utilisateurs accèdent au programme via chatgpt.com/cyber pour une vérification individuelle, ou par l'intermédiaire d'un représentant OpenAI pour les équipes entreprise. Ce changement s'attaque à un problème concret que connaissent bien les chercheurs et ingénieurs en sécurité : les modèles généralistes refusent fréquemment d'analyser du code malveillant ou d'expliquer des techniques d'exploitation, même dans un cadre manifestement défensif. Cette friction ralentit le travail des équipes de sécurité offensives et défensives légitimes, au profit, indirectement, des attaquants qui eux n'attendent pas de validation. En réduisant ces blocages pour des utilisateurs vérifiés, OpenAI cherche à rééquilibrer l'avantage technologique en faveur des défenseurs. Le modèle conserve toutefois des garde-fous stricts : l'exfiltration de données, la création ou le déploiement de malwares, et les tests non autorisés restent explicitement interdits. L'accès en mode zéro-rétention de données est également limité, OpenAI arguant d'une visibilité réduite sur l'environnement et les intentions de l'utilisateur dans cette configuration. La cybersécurité a toujours souffert de ce qu'on appelle le problème du double usage : les mêmes connaissances techniques servent aussi bien à défendre des systèmes qu'à les attaquer. Pour les systèmes d'IA, cette tension est particulièrement aiguë, car il est difficile de distinguer automatiquement une intention défensive d'une intention malveillante. OpenAI propose ici une réponse structurelle inédite : un cadre d'accès à plusieurs niveaux fondé sur la vérification d'identité, plutôt que des restrictions uniformes appliquées à tous. Cette approche s'inscrit dans une tendance plus large du secteur à différencier les accès selon le profil et les intentions déclarés de l'utilisateur. Si le modèle se généralise, d'autres fournisseurs de modèles comme Anthropic ou Google DeepMind pourraient être amenés à développer des dispositifs similaires pour ne pas laisser OpenAI s'imposer comme la référence des outils d'IA pour la sécurité professionnelle.

GPT-5.5 aussi redoutable que Mythos en matière de hacking ? Les tests inquiètent

L'AI Security Institute a publié fin avril 2026 les résultats de tests comparatifs entre GPT-5.5, le dernier modèle d'OpenAI, et Mythos, le modèle phare d'Anthropic, sur des scénarios de cyberattaque simulés. Sur CyberBench et la simulation britannique TLO en 32 étapes, GPT-5.5 atteint 71,4 % de réussite sur des tâches de niveau expert, contre 68,6 % pour Mythos. Plus révélateur encore : GPT-5.5 a réussi à compléter la simulation TLO de bout en bout dans 2 cas sur 10, Mythos dans 3 cas sur 10. Cette simulation reproduit une cyberattaque complète incluant la reconnaissance, l'exploitation de vulnérabilités, l'élévation de privilèges, les mouvements latéraux et l'analyse cryptographique, soit des opérations normalement réservées à des professionnels de la sécurité offensive. Ce franchissement de seuil est significatif parce qu'il marque un glissement qualitatif : ces modèles ne se contentent plus d'assister un humain dans une tâche ponctuelle, ils sont désormais capables d'exécuter des chaînes d'attaque complètes et cohérentes sur plusieurs dizaines d'étapes. Une erreur en cours de séquence suffit normalement à faire échouer l'ensemble de la simulation, ce qui rend la réussite partielle de ces deux systèmes d'autant plus notable. Pour les équipes de sécurité défensive, les entreprises et les gouvernements, cela signifie que des capacités offensives jusqu'ici réservées à des groupes d'attaquants expérimentés pourraient devenir accessibles via des interfaces conversationnelles grand public, abaissant drastiquement le niveau technique requis pour mener des intrusions sophistiquées. Mythos faisait déjà l'objet d'inquiétudes avant la publication de ces résultats : Anthropic lui-même avait appelé à la prudence quant à son déploiement, et la Maison-Blanche avait exprimé des réserves sur les risques d'usage incontrôlé. GPT-5.5 s'invite maintenant dans ce débat avec des performances quasi équivalentes, ce qui complique la gestion du risque : il ne s'agit plus d'un modèle isolé jugé trop puissant, mais d'une tendance de fond touchant les grands laboratoires simultanément. L'écart entre les deux modèles est mince sur les benchmarks, mais GPT-5.5 se distingue par une progression plus régulière à travers les étapes, tandis que Mythos affiche des avancées plus irrégulières. La trajectoire commune des deux systèmes, clairement visible sur les graphiques de l'AI Security Institute, indique que davantage de tokens disponibles se traduit directement par une plus grande profondeur d'exécution dans les simulations d'attaque, ouvrant la question de savoir où se situe la prochaine limite à franchir.

💬 Le score à 71%, c'est presque secondaire. Ce qui compte, c'est qu'il n'y a plus un modèle isolé à surveiller, les deux plus grands labos arrivent au même résultat simultanément, et ça rend la gestion du risque autrement plus compliquée. 2 fois sur 10, 3 fois sur 10, une chaîne d'attaque complète en 32 étapes sans assistance humaine : le niveau d'entrée pour mener une intrusion sophistiquée vient de baisser d'un cran.