Mistral AI piraté ? 5 Go de code source en vente

Mensch (Mistral) alerte sur l'IA et le code militaire

Arthur Mensch, PDG et cofondateur de Mistral AI, a lancé un avertissement public contre l'utilisation de modèles d'intelligence artificielle américains pour analyser les bases de code militaires françaises. Ciblant explicitement Mythos, le modèle développé par Anthropic, Mensch a déclaré que confier des infrastructures sensibles de l'État français à des systèmes d'IA étrangers représente un risque inacceptable pour la souveraineté nationale. Ces déclarations interviennent alors que plusieurs gouvernements européens explorent l'intégration d'outils d'IA dans leurs processus de développement logiciel, y compris dans des contextes de défense. L'enjeu soulevé par Mensch dépasse la simple rivalité commerciale : il reconnaît ouvertement que les modèles d'IA modernes, y compris ceux de Mistral, sont désormais capables d'orchestrer des cyberattaques et de suggérer des failles exploitables dans un code source. Autoriser un modèle étranger à scanner des bases de code militaires revient donc à exposer potentiellement des vulnérabilités stratégiques à des acteurs hors du contrôle européen. Cette position illustre la tension croissante entre l'adoption rapide de l'IA dans les institutions publiques et les impératifs de cybersécurité nationale. Mistral, fondée en 2023 à Paris, s'est imposée comme le principal champion européen de l'IA générative face aux géants américains. Dans ce contexte, Mensch a également fermé la porte à toute hypothèse de rachat de l'entreprise, confirmant que Mistral vise une introduction en bourse. Cette sortie publique positionne Mistral comme un acteur engagé dans le débat sur la souveraineté technologique européenne, à l'heure où Bruxelles cherche à réduire sa dépendance aux infrastructures numériques américaines.

💬 Mensch dit tout haut ce que tout le monde sait : un LLM qui lit du code militaire, c'est aussi un LLM qui peut y repérer des failles. Pas besoin d'intention malveillante, suffit que les données de fine-tuning ou les logs partent au mauvais endroit. Bon, il a évidemment un intérêt commercial à jouer la carte souveraineté, mais là-dessus, il a quand même raison.

Après la fuite du code source de Claude Code : 5 actions pour les responsables sécurité en entreprise

Le 31 mars 2026, Anthropic a accidentellement inclus un fichier source map de 59,8 Mo dans la version 2.1.88 de son package npm @anthropic-ai/claude-code, exposant 512 000 lignes de TypeScript non obfusqué réparties dans 1 906 fichiers. Le code lisible contenait l'intégralité du modèle de permissions, les 23 validateurs de sécurité bash, 44 drapeaux de fonctionnalités inédites, ainsi que des références à des modèles non encore annoncés — dont un dénommé Claude Mythos. Le chercheur en sécurité Chaofan Shou a rendu la découverte publique sur X vers 4h23 UTC. Des dépôts miroirs ont proliféré sur GitHub en quelques heures. Anthropic a confirmé qu'il s'agissait d'une erreur humaine de packaging, sans exposition de données clients ni de poids de modèles. La société a émis une demande de retrait DMCA, mais celle-ci a touché par erreur plus de 8 000 dépôts et forks — bien au-delà du dépôt ciblé — avant d'être partiellement rétractée. Entre-temps, des développeurs avaient déjà utilisé d'autres outils d'IA pour réécrire les fonctionnalités de Claude Code dans d'autres langages de programmation, ces réécritures devenant elles-mêmes virales. L'impact dépasse la simple fuite de code. Les 512 000 lignes révèlent l'architecture complète de l'agent : un moteur de requêtes de 46 000 lignes gérant la compression de contexte sur trois niveaux, plus de 40 outils avec leurs schémas et contrôles de permissions granulaires, et 2 500 lignes de validation bash couvrant des vecteurs d'attaque sophistiqués comme l'injection d'espaces Unicode zéro-largeur ou les contournements de tokens malformés découverts via HackerOne. Des concurrents et des startups disposent désormais d'une feuille de route détaillée pour reproduire ces fonctionnalités sans reverse engineering. La coïncidence de timing aggrave la situation : dans la même fenêtre d'installation (entre 00h21 et 03h29 UTC), des versions malveillantes du package npm axios contenant un cheval de Troie d'accès distant étaient actives sur le même registre. Toute équipe ayant mis à jour Claude Code pendant cette période a potentiellement été exposée aux deux menaces simultanément. Ce n'est pas un incident isolé. Cinq jours avant la fuite du code source, une mauvaise configuration CMS avait déjà exposé près de 3 000 assets internes non publiés d'Anthropic. Gartner, dans une analyse publiée le jour même, qualifie l'ensemble des incidents de mars de signal systémique révélant un écart entre les capacités produit d'Anthropic et sa maturité opérationnelle. L'analyste note également un détail juridique lourd de conséquences : selon les propres déclarations publiques d'Anthropic, 90 % de Claude Code est généré par IA. Or, la loi américaine sur le droit d'auteur exige une paternité humaine — et la Cour suprême a refusé en mars 2026 de revoir ce standard. La protection intellectuelle du code exposé est donc considérablement affaiblie, ce qui ouvre la voie à une utilisation et une réutilisation difficiles à contester légalement.

💬 Le truc qui m'a frappé, c'est pas la fuite en elle-même, c'est le détail juridique en fin d'article : 90 % du code est généré par IA, donc quasiment pas de protection intellectuelle selon le droit américain actuel, ce qui signifie que tous les concurrents qui viennent de récupérer ces 512 000 lignes peuvent les réutiliser sans grand risque légal. Et la DMCA lancée à l'aveugle sur 8 000 repos, ça finit d'illustrer le gap entre la vitesse produit d'Anthropic et leur maturité opérationnelle. Gartner a raison pour une fois.

Le code source de Claude a été divulgué par erreur, que s’est-il passé ?

Anthropic a involontairement exposé des éléments sensibles de son assistant Claude en publiant une mise à jour de Claude Code contenant un fichier permettant de reconstituer l'intégralité du code source de l'IA. L'incident a été découvert peu après le déploiement de la mise à jour, forçant la start-up californienne à réagir en urgence pour retirer le fichier incriminé. Cette fuite représente un incident majeur pour Anthropic, dont la valeur repose en grande partie sur la propriété intellectuelle de ses modèles. Le code source d'un grand modèle de langage constitue un actif stratégique de premier ordre : il révèle les choix d'architecture, les techniques d'entraînement et les optimisations qui différencient un modèle de ses concurrents. Une telle divulgation pourrait bénéficier directement à des rivaux comme OpenAI, Google DeepMind ou des acteurs open source cherchant à combler leur retard. Anthropic traverse une période de croissance intense, avec une valorisation dépassant les 60 milliards de dollars et des investissements massifs d'Amazon et Google. La sécurité opérationnelle est un enjeu critique pour les labos d'IA de pointe, qui font face à des menaces de fuites industrielles et d'espionnage. Cet incident rappelle que même les entreprises les plus avancées techniquement restent vulnérables aux erreurs humaines dans leurs processus de déploiement.

Mistral prépare son IA chasseuse de failles, Microsoft déploie déjà son armée d’agents

Mistral AI travaille au développement d'un modèle d'intelligence artificielle dédié à la détection de failles de sécurité dans le code de banques européennes, selon des informations rapportées par Bloomberg. La startup française, qui collaborait déjà avec ses clients du secteur bancaire sur ces problématiques avant le lancement de Mythos par Anthropic en avril dernier, prépare désormais une version "clé en main" pour un déploiement plus large. En parallèle, Microsoft a dévoilé MDASH, pour "Microsoft Security multi-model agentic scanning harness", un système de sécurité agentique mobilisant plusieurs modèles d'IA complémentaires et une centaine d'agents spécialisés. Sur le benchmark CyberGym, qui regroupe plus de 1 500 tâches reproduisant des vulnérabilités réelles, MDASH affiche un taux de réussite de 88,45 %, soit environ 5 points de mieux que son concurrent le plus proche. Le système a déjà permis d'identifier 16 vulnérabilités dans l'authentification et l'infrastructure réseau de Windows, dont 4 failles critiques permettant l'exécution de code à distance. La détection automatisée de vulnérabilités par IA est en train de passer du statut d'expérimentation de laboratoire à celui d'outil industriel déployé à grande échelle, c'est le constat que Microsoft formule explicitement. Pour les entreprises et institutions gérant des infrastructures critiques, l'enjeu est considérable : des systèmes capables d'ausculter des millions de lignes de code en continu représentent un saut qualitatif majeur face aux audits manuels. Mais cette puissance soulève aussi une question de dépendance stratégique : qui contrôle ces outils, et sur quel code s'appliquent-ils ? C'est précisément ce point qu'Arthur Mensch, directeur général de Mistral, a soulevé cette semaine devant la commission d'enquête sur les vulnérabilités numériques à l'Assemblée nationale. Sans nommer Anthropic, il a pointé le risque de confier le code et les bases de données de l'armée française à un modèle étranger comme Mythos, actuellement distribué au compte-gouttes auprès d'organisations majoritairement américaines, sans accès accordé à l'Europe. L'argument est limpide : la cybersécurité par IA est un sujet régalien, et la souveraineté technologique devient un critère non négociable. Mistral se positionne ainsi comme alternative européenne crédible dans une course qui oppose déjà Anthropic, OpenAI avec son initiative Daybreak, et désormais Microsoft. La question des certifications, des audits et de la gouvernance de ces outils devrait rapidement s'imposer dans les débats réglementaires européens.

💬 Ce que dit Mensch à l'Assemblée, c'est pas du lobbying habillé en souveraineté, c'est du bon sens brut : si tu confies le code de l'armée française à un modèle américain qui filtre lui-même ses accès européens, tu perds la main sur ta propre infrastructure critique. Microsoft affiche 88% sur CyberGym et 4 failles critiques trouvées dans Windows, le niveau monte vite. Mistral a l'argument souveraineté, reste à voir si ça pèse face à des chiffres pareils.