Mozilla affirme avoir franchi un cap dans la cybersécurité en utilisant Mythos, un modèle d’Anthropic, pour repérer 271 vulnérabilités dans Firefox 150. Après un premier test mené avec Opus 4.6 sur Firefox 148, qui avait permis d’identifier 22 bogues, l’organisation dit avoir constaté un changement d’échelle qui pourrait redéfinir le travail des équipes de sécurité.

Le directeur technologique de Mozilla, Bobby Holley, reconnaît que le résultat a d’abord provoqué un certain vertige. Voir apparaître autant de failles d’un coup dans un logiciel aussi surveillé que Firefox montre à quel point les outils d’IA progressent vite. Mais pour lui, cette accélération n’annonce pas seulement plus de risques, elle ouvre aussi une fenêtre inédite pour les défenseurs.

Jusqu’ici, explique Mozilla, les équipes de sécurité s’appuyaient surtout sur des outils automatisés comme le fuzzing et sur l’expertise de chercheurs capables de raisonner dans le code. Or, c’est précisément ce terrain que Mythos semble désormais occuper. Holley estime que le modèle est capable de retrouver des vulnérabilités au niveau des meilleurs spécialistes humains, sans avoir pour l’instant révélé de catégorie de faille totalement hors de portée d’un expert chevronné.

C’est là, selon Mozilla, que l’équilibre pourrait commencer à changer. Pendant des années, la défense a surtout consisté à rendre l’exploitation des failles suffisamment coûteuse pour décourager la majorité des attaquants. Si des machines peuvent désormais découvrir rapidement et à bas coût des bogues jusque-là réservés à une élite, les éditeurs ont enfin une chance de réduire l’avantage structurel des offensives les plus sophistiquées.

Mozilla rejette cependant l’idée selon laquelle l’IA serait sur le point de découvrir des formes de vulnérabilités incompréhensibles pour les humains. Pour Holley, un logiciel comme Firefox reste un système complexe, mais conçu de manière modulaire, donc analysable. Son pari est clair : les défauts sont en nombre fini, et l’arrivée de modèles comme Mythos pourrait permettre, à terme, d’en éliminer une part bien plus grande qu’auparavant.

Reste une zone d’ombre importante. Ce type d’avancée favorise sans doute les grands acteurs capables d’absorber un afflux massif de rapports et de correctifs. Des médias notent déjà que la transition pourrait être plus difficile pour les petits projets libres, souvent sous-financés, alors même qu’ils constituent une pièce essentielle de l’infrastructure numérique. Autrement dit, l’IA pourrait renforcer la sécurité des mieux outillés, tout en mettant une pression supplémentaire sur le reste de l’écosystème.

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.