Mensch (Mistral) alerte sur l'IA et le code militaire

Mistral AI piraté ? 5 Go de code source en vente

Depuis le 13 mai 2026, un vendeur anonyme propose sur un forum cybercriminel l'accès à environ 5 Go de données attribuées à Mistral AI : près de 450 dépôts privés et du code source interne, mis en vente pour 25 000 dollars. La startup française d'intelligence artificielle, fondée en 2023 et valorisée à plusieurs milliards d'euros, n'a pas confirmé publiquement la fuite. Toutefois, des informations indiquent que Mistral AI mène une enquête interne sur un incident de sécurité distinct, lié cette fois à une attaque de type supply chain, ce qui suggère que l'entreprise a bien subi une intrusion d'une forme ou d'une autre. L'exposition potentielle de 450 dépôts privés représente un risque majeur pour une entreprise dont la valeur repose précisément sur ses modèles propriétaires et son infrastructure technique. Si la fuite est authentique, des concurrents pourraient accéder à des algorithmes, des pipelines d'entraînement ou des données de configuration qui constituent le cœur compétitif de Mistral. Pour les clients enterprise utilisant les API de la startup, la question de la sécurité de leurs données transmises se pose également. Mistral AI s'est imposée comme le principal acteur européen de l'IA générative, face aux géants américains OpenAI et Anthropic. La startup a levé des centaines de millions d'euros en moins de deux ans et collabore avec des institutions publiques françaises, ce qui rend toute compromission particulièrement sensible. Les attaques supply chain, qui visent les outils et dépendances utilisés par les équipes de développement plutôt que les systèmes en production, sont en forte hausse dans le secteur tech depuis 2024, et ciblent désormais explicitement les startups IA à forte croissance.

💬 25 000 dollars pour les pipelines d'entraînement de Mistral, c'est presque insultant comme prix vu la valorisation. Si c'est authentique, le vrai dégât c'est pas le code volé, c'est la confiance des clients enterprise et des institutions publiques qui s'évapore d'un coup. Une supply chain attack bien menée, ça ne se voit pas venir, et visiblement même les boîtes les mieux financées du moment ne sont pas immunisées.

Le PDG d'Okta mise sur l'identité des agents IA

Todd McKinnon, co-fondateur et PDG d'Okta, a accordé une interview approfondie au podcast Decoder de The Verge pour expliquer comment il réoriente sa stratégie face à l'essor de l'IA. Okta, valorisée à 14 milliards de dollars, est l'une des principales plateformes de gestion des identités et de la sécurité en entreprise — ce système qui oblige les employés à se reconnecter plusieurs fois par jour avant chaque réunion. Lors du dernier appel aux investisseurs, McKinnon a admis être « paranoïaque » face à ce que l'industrie appelle désormais la « SaaSpocalypse » : la menace que les entreprises construisent elles-mêmes leurs outils grâce au vibe-coding et aux LLMs, plutôt que de payer des abonnements SaaS coûteux à des acteurs comme Okta. L'enjeu est considérable. Si des milliers d'entreprises clientes décident de développer en interne ce qu'Okta leur vend, le modèle économique de tout un pan du secteur logiciel est remis en cause. Mais McKinnon identifie une opportunité stratégique précisément là où la menace est la plus forte : la gestion des identités des agents IA. Là où Okta gérait jusqu'ici les accès des humains — employés, sous-traitants, partenaires — il faut désormais faire de même pour les agents autonomes déployés au sein des organisations. Ces agents accèdent à des données sensibles, exécutent des tâches critiques, et peuvent agir au nom d'un utilisateur avec ses propres identifiants. La question de sécurité est immédiate : que se passe-t-il quand un employé achète un Mac Mini, y transfère ses credentials, et laisse un agent IA faire ce qu'il veut avec eux ? McKinnon propose d'intégrer un « kill switch » au niveau de l'agent — un mécanisme d'interruption d'urgence — mais reconnaît que l'identité d'un agent se situe quelque part entre celle d'une personne et celle d'un système informatique classique, un espace conceptuel encore largement à définir. Le contexte est celui d'une mutation structurelle de l'industrie logicielle. L'émergence d'outils comme OpenClaw — une plateforme d'agents IA qui s'est accompagnée de nombreuses failles de sécurité — illustre l'urgence du problème. Les entreprises commencent à déployer des équipes hybrides, mélangeant salariés humains et agents autonomes, sans cadre clair pour gouverner les droits d'accès de ces derniers. Okta, qui a construit sa position dominante sur la gestion des identités humaines, ambitionne de devenir la référence pour cette nouvelle couche d'identité machine. McKinnon mise sur cette transition pour transformer la menace existentielle de la SaaSpocalypse en avantage compétitif — à condition de se réinventer assez vite.

Mistral prépare son IA chasseuse de failles, Microsoft déploie déjà son armée d’agents

Mistral AI travaille au développement d'un modèle d'intelligence artificielle dédié à la détection de failles de sécurité dans le code de banques européennes, selon des informations rapportées par Bloomberg. La startup française, qui collaborait déjà avec ses clients du secteur bancaire sur ces problématiques avant le lancement de Mythos par Anthropic en avril dernier, prépare désormais une version "clé en main" pour un déploiement plus large. En parallèle, Microsoft a dévoilé MDASH, pour "Microsoft Security multi-model agentic scanning harness", un système de sécurité agentique mobilisant plusieurs modèles d'IA complémentaires et une centaine d'agents spécialisés. Sur le benchmark CyberGym, qui regroupe plus de 1 500 tâches reproduisant des vulnérabilités réelles, MDASH affiche un taux de réussite de 88,45 %, soit environ 5 points de mieux que son concurrent le plus proche. Le système a déjà permis d'identifier 16 vulnérabilités dans l'authentification et l'infrastructure réseau de Windows, dont 4 failles critiques permettant l'exécution de code à distance. La détection automatisée de vulnérabilités par IA est en train de passer du statut d'expérimentation de laboratoire à celui d'outil industriel déployé à grande échelle, c'est le constat que Microsoft formule explicitement. Pour les entreprises et institutions gérant des infrastructures critiques, l'enjeu est considérable : des systèmes capables d'ausculter des millions de lignes de code en continu représentent un saut qualitatif majeur face aux audits manuels. Mais cette puissance soulève aussi une question de dépendance stratégique : qui contrôle ces outils, et sur quel code s'appliquent-ils ? C'est précisément ce point qu'Arthur Mensch, directeur général de Mistral, a soulevé cette semaine devant la commission d'enquête sur les vulnérabilités numériques à l'Assemblée nationale. Sans nommer Anthropic, il a pointé le risque de confier le code et les bases de données de l'armée française à un modèle étranger comme Mythos, actuellement distribué au compte-gouttes auprès d'organisations majoritairement américaines, sans accès accordé à l'Europe. L'argument est limpide : la cybersécurité par IA est un sujet régalien, et la souveraineté technologique devient un critère non négociable. Mistral se positionne ainsi comme alternative européenne crédible dans une course qui oppose déjà Anthropic, OpenAI avec son initiative Daybreak, et désormais Microsoft. La question des certifications, des audits et de la gouvernance de ces outils devrait rapidement s'imposer dans les débats réglementaires européens.

💬 Ce que dit Mensch à l'Assemblée, c'est pas du lobbying habillé en souveraineté, c'est du bon sens brut : si tu confies le code de l'armée française à un modèle américain qui filtre lui-même ses accès européens, tu perds la main sur ta propre infrastructure critique. Microsoft affiche 88% sur CyberGym et 4 failles critiques trouvées dans Windows, le niveau monte vite. Mistral a l'argument souveraineté, reste à voir si ça pèse face à des chiffres pareils.

Google et le Pentagone concluent un accord pour un usage de l'IA sans restriction légale

Google a conclu un accord classifié avec le département américain de la Défense (DoD) autorisant ce dernier à utiliser ses modèles d'intelligence artificielle pour "tout usage gouvernemental légal", selon un rapport de The Information publié lundi. La révélation intervient moins de vingt-quatre heures après qu'une partie des employés de Google a adressé une pétition au PDG Sundar Pichai, exigeant qu'il bloque l'accès du Pentagone à ses technologies, par crainte que celles-ci soient employées à des fins "inhumaines ou extrêmement préjudiciables". Cet accord positionne Google aux côtés d'OpenAI et xAI, qui ont eux aussi signé des contrats classifiés avec le gouvernement américain. La décision illustre la tension croissante au sein des grandes entreprises tech entre impératifs commerciaux et éthique de déploiement : le DoD représente un client stratégique de premier plan, mais ses usages potentiels des systèmes d'IA restent opaques pour le grand public comme pour les salariés de ces entreprises. Le contexte récent éclaire la portée de ce choix. Anthropic a été récemment inscrit sur liste noire par le Pentagone après avoir refusé de supprimer ses garde-fous de sécurité sur demande du DoD. Google, en acceptant un accès étendu et sans restrictions explicites, prend le chemin inverse. La question des applications militaires de l'IA, qu'il s'agisse de ciblage, de surveillance ou d'automatisation de décisions, s'impose désormais comme un enjeu central pour l'ensemble du secteur.