IA : le meilleur pentester au monde — et pourquoi cela doit être ainsi
Date de publication :
- 28 avril 2026
Que se passe-t-il lorsque les logiciels ne sont plus attaqués uniquement par des humains, mais par des acteurs synthétiques qui pensent différemment de nous ?
Le développeur de Claude, Anthropic, a fait les gros titres la semaine dernière avec la publication interne d’un nouveau modèle appelé Mythos. Celui-ci serait particulièrement performant pour identifier des bugs et des vulnérabilités dans les logiciels. Compte tenu de ces capacités, Anthropic renonce pour l’instant à une mise à disposition publique et privilégie une collaboration avec de grandes entreprises technologiques et des gouvernements afin de prévenir tout usage abusif.
Il reste toutefois difficile de déterminer dans quelle mesure ces vulnérabilités sont réalistes et réellement exploitables… du moins pour des humains.
Anthropic a lui-même classé une vulnérabilité de 16 ans dans FFmpeg comme non critique et a estimé qu’un exploit fonctionnel serait difficile à développer. Les exploits potentiels identifiés dans le noyau Linux n’ont pas pu être exploités en raison de ses mécanismes de sécurité en couches, et certains semblent déjà avoir été corrigés.
Anthropic reconnaît également que les milliers de problèmes signalés ne sont pas entièrement vérifiés, mais reposent plutôt sur des extrapolations. Base de cette estimation : environ 90 % de concordance sur 198 cas examinés manuellement. [1]
Je suis très reconnaissant que bon nombre de ces bugs découverts soient peu susceptibles de causer des dommages aux utilisateurs — que ce soit parce que des correctifs existent déjà, que des mécanismes de sécurité en profondeur les atténuent à des niveaux supérieurs, ou que d’autres mesures de protection sont en place.
Néanmoins, ces vulnérabilités doivent être corrigées. Pourquoi ? Parce qu’avec l’IA, nous avons introduit dans notre monde un acteur intelligent qui ne raisonne pas comme un humain. Aux côtés de la logique humaine, il existe désormais une logique propre à l’IA (et redoutablement efficace). Nous avons déjà observé ce phénomène il y a plus de 10 ans avec le coup 37 d’AlphaGo. [2]
Recommandé par LinkedIn
Lies-in-the-Loop : quand les mécanismes de sécurité de l’IA deviennent eux-mêmes le vecteur d’exploitation
COE Security LLC
La vulnérabilité cachée de l’IA : la montée en puissance des attaques par prompt
Vivienne Neale
L’IA est en train de redéfinir discrètement les règles des cyberattaques
Pankaj Suthar
Nos systèmes informatiques ne doivent plus être renforcés « uniquement » contre des hackers humains, mais également contre des hackers IA. Et les hackers IA sont bien plus capables que nous de transformer des vulnérabilités complexes et tortueuses en exploits fonctionnels.
Conclusion : le véritable risque ne réside pas dans la vulnérabilité individuelle, mais dans la nouvelle manière de penser capable de l’exploiter. Beaucoup de ces bugs peuvent sembler inoffensifs aujourd’hui — mais il s’agit d’une évaluation humaine. L’IA pourrait parvenir à une conclusion très différente.
La sécurité était autrefois un jeu contre la créativité humaine. Elle devient désormais un jeu contre une entité qui met à l’échelle cette créativité de manière systématique.
Ce mois-ci, nous allons réaliser un test d’intrusion approfondi de notre plateforme de sensibilisation à la cybersécurité ainsi que des versions on-premises. Je demanderai sans aucun doute à l’équipe de réaliser un pentest IA approfondi.
