GPT-5.5 aussi redoutable que Mythos en matière de hacking ? Les tests inquiètent
L'AI Security Institute a publié fin avril 2026 les résultats de tests comparatifs entre GPT-5.5, le dernier modèle d'OpenAI, et Mythos, le modèle phare d'Anthropic, sur des scénarios de cyberattaque simulés. Sur CyberBench et la simulation britannique TLO en 32 étapes, GPT-5.5 atteint 71,4 % de réussite sur des tâches de niveau expert, contre 68,6 % pour Mythos. Plus révélateur encore : GPT-5.5 a réussi à compléter la simulation TLO de bout en bout dans 2 cas sur 10, Mythos dans 3 cas sur 10. Cette simulation reproduit une cyberattaque complète incluant la reconnaissance, l'exploitation de vulnérabilités, l'élévation de privilèges, les mouvements latéraux et l'analyse cryptographique, soit des opérations normalement réservées à des professionnels de la sécurité offensive.
Ce franchissement de seuil est significatif parce qu'il marque un glissement qualitatif : ces modèles ne se contentent plus d'assister un humain dans une tâche ponctuelle, ils sont désormais capables d'exécuter des chaînes d'attaque complètes et cohérentes sur plusieurs dizaines d'étapes. Une erreur en cours de séquence suffit normalement à faire échouer l'ensemble de la simulation, ce qui rend la réussite partielle de ces deux systèmes d'autant plus notable. Pour les équipes de sécurité défensive, les entreprises et les gouvernements, cela signifie que des capacités offensives jusqu'ici réservées à des groupes d'attaquants expérimentés pourraient devenir accessibles via des interfaces conversationnelles grand public, abaissant drastiquement le niveau technique requis pour mener des intrusions sophistiquées.
Mythos faisait déjà l'objet d'inquiétudes avant la publication de ces résultats : Anthropic lui-même avait appelé à la prudence quant à son déploiement, et la Maison-Blanche avait exprimé des réserves sur les risques d'usage incontrôlé. GPT-5.5 s'invite maintenant dans ce débat avec des performances quasi équivalentes, ce qui complique la gestion du risque : il ne s'agit plus d'un modèle isolé jugé trop puissant, mais d'une tendance de fond touchant les grands laboratoires simultanément. L'écart entre les deux modèles est mince sur les benchmarks, mais GPT-5.5 se distingue par une progression plus régulière à travers les étapes, tandis que Mythos affiche des avancées plus irrégulières. La trajectoire commune des deux systèmes, clairement visible sur les graphiques de l'AI Security Institute, indique que davantage de tokens disponibles se traduit directement par une plus grande profondeur d'exécution dans les simulations d'attaque, ouvrant la question de savoir où se situe la prochaine limite à franchir.
Les administrations et entreprises européennes font face à un risque accru d'intrusions sophistiquées facilitées par des interfaces grand public, une menace que l'ENISA et les obligations de l'AI Act sur les systèmes à haut risque devront intégrer en urgence.
Le score à 71%, c'est presque secondaire. Ce qui compte, c'est qu'il n'y a plus un modèle isolé à surveiller, les deux plus grands labos arrivent au même résultat simultanément, et ça rend la gestion du risque autrement plus compliquée. 2 fois sur 10, 3 fois sur 10, une chaîne d'attaque complète en 32 étapes sans assistance humaine : le niveau d'entrée pour mener une intrusion sophistiquée vient de baisser d'un cran.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
