Auteur : Arnaud DUFOURNET, Directeur Marketing & Expérience Client

L’ère de l’IA agentique appliquée à la cybersécurité vient de franchir un cap critique avec la révélation de Claude Mythos par Anthropic. Ce modèle marque une rupture technologique majeure, redéfinissant brutalement la gestion des risques cyber. Dans le même temps, le risque quantique impose la transition vers une nouvelle cryptographie. Dans ce contexte, comment faut-il positionner l’IA : comme une menace ou comme un facilitateur ?

Au delà du mythe …

Il a beaucoup fait parler de lui ces derniers temps et, pourtant, Mythos n’est pas une fable ou une légende urbaine. Ce LLM (Large Language Model) conçu par Anthropic existe bel et bien. Plus qu’un simple assistant de complétion de code, c’est un chercheur en sécurité autonome et déjà très performant : plus de 10 000 vulnérabilités importantes ou critiques ont été identifiées depuis son lancement en avril dernier, incluant des failles de sécurité jusqu’ici inconnues

Il intrigue d’autant plus que son accès a été volontairement restreint dès le départ via le Project Glasswing, un consortium de défense qui réunit des géants de la tech (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Microsoft, Nvidia, Cloudflare, Palo Alto Networks…), mais aussi des institutions financières comme JPMorgan Chase ou Goldman Sachs, et des organisations comme la Fondation Linux.

Il effraie également. Une étude de Sia Partners démontre que « pour la première fois, attaquer revient moins cher que se protéger : Claude Mythos donne un avantage de 100 contre 1 aux cyberattaquants ». Un constat qui fait trembler les professionnels de la sécurité informatique et qui a poussé la Banque Centrale Européenne (BCE) à convoquer en urgence les banques de la zone euro à une réunion de sensibilisation sur les risques systémiques révélés par les derniers modèles d’IA.

Mais de quoi Claude Mythos Preview — comme il convient de l’appeler — est-il capable exactement pour effrayer la planète cyber (et son propre créateur) ? Ayant déployé Mythos Preview sur sa propre infrastructure, Cloudflare livre un retour d’expérience très éclairant. Le LLM permet non seulement de détecter des vulnérabilités, mais aussi de construire une chaîne d’exploitation complète. Il ne se contente pas de découvrir la faille : il fournit le mode d’emploi pour l’exploiter. Mieux encore, il génère la preuve de concept (PoC) en exécutant l’attaque pour vérifier si le résultat correspond bien à sa prédiction.

Le UK AI Security Institute (UK AISI) confirme ces capacités remarquables. Lors d’évaluations indépendantes, Mythos Preview a résolu avec succès 73 % des défis de Capture The Flag (CTF) de niveau expert.

Le UK AI Security Institute (UK AISI) confirme aussi les capacités remarquables du LLM. Lors des évaluations indépendantes menées par l’organisme étatique britannique, Mythos Preview a résolu avec succès 73 % des défis de Capture The Flag (CTF) de niveau expert.

Une menace pour les algorithmes PQC ?

Alors que les projets de transition commencent tout juste à émerger, comment les organisations doivent-elles appréhender ce nouveau facteur ? Doté de capacités d’attaque redoutables, Mythos Preview peut-il déjà mettre en péril les systèmes où la PQC a été déployée ? Derrière cette question, se cachent deux réflexions bien distinctes :

• L’IA peut-elle casser les algorithmes post-quantiques en résolvant les problèmes mathématiques qui les fondent ?
• L’IA peut-elle exploiter des failles d’implémentation de ces algorithmes ?

Sur le premier point, la réponse est non. Mythos est un moteur de découverte de vulnérabilités logicielles, non un accélérateur de calcul mathématique. Pour casser un algorithme de cryptographie post-quantique (comme ML-KEM ou ML-DSA), il ne suffit pas d’être « intelligent » ou d’avoir une excellente logique informatique. Il faut résoudre des problèmes mathématiques fondamentaux extrêmement complexes, comme le problème du plus court vecteur dans les réseaux euclidiens (Lattice-based cryptography). L’IA ne possède pas de puissance de calcul brute de nature quantique ou supercalculatrice. Un LLM fonctionne par prédiction de jetons (tokens) et par raisonnement logique séquentiel. Face à un algorithme post-quantique parfaitement implémenté, les mathématiques brutes dressent une barrière de complexité algorithmique (2¹²⁸ ou 2²⁵⁶) que l’IA ne peut ni « deviner » ni contourner par l’astuce.

Nous voilà rassurés. Qu’en est-il cependant de l’implémentation ? Mythos excelle à repérer les erreurs logicielles humaines (dépassements de tampon/buffer overflows, mauvaise gestion de la mémoire, clés privées codées en dur…). C’est là sa véritable force. Si l’IA ne peut s’attaquer aux mathématiques sous-jacentes, elle peut en revanche pilonner le code écrit par les humains. Les premières implémentations d’algorithmes PQC sont donc des proies idéales : elles sont encore jeunes, complexes, et déployées par des équipes qui manquent parfois de recul

Ces attaques exploitent les fuites involontaires des systèmes (traces de consommation électrique, émissions électromagnétiques, variations temporelles) pour récupérer les clés secrètes sans altérer le système cible

L’exemple de KyberSlash en 2024 l’a bien démontré : des équipes de recherche ont collecté des milliers de traces de consommation électrique et utilisé le Machine Learning pour déchiffrer des clés, en exploitant un canal auxiliaire temporel dans la phase de re-chiffrement de Kyber.

Un puissant allié pour déployer la PQC

C’est précisément là que réside le véritable paradoxe de cette technologie. Si une IA comme Mythos Preview terrifie l’industrie par ses capacités offensives, elle s’annonce simultanément comme la clé de voûte pour réussir la transition vers la cryptographie post-quantique.

Pour un RSSI, la migration vers la PQC s’apparente souvent à un défi logistique et structurel titanesque. L’IA agentique change la donne sur quatre piliers critiques :

1. La cartographie automatisée de l’existant (L’inventaire cryptographique)

Avant de migrer, il faut découvrir où se cache la cryptographie obsolète à remplacer (RSA, 3DES, ECC). Dans une multinationale, cela représente des dizaines de millions de lignes de code et des milliers de dépendances enfouies.

L’avantage de l’IA : Des agents spécialisés peuvent scanner l’intégralité du patrimoine applicatif (code source, conteneurs, configurations cloud) en quelques heures. Ils identifient les algorithmes vulnérables et cartographient les versions de bibliothèques associées (OpenSSL, Bouncy Castle), créant instantanément un CBOM (Cryptographic Bill of Materials) fiable et une source unique de vérité (Single Source of Truth).

2. Le refactoring de code et la génération de patchs PQC

Remplacer du RSA par du ML-KEM ne se fait pas par un simple copier-coller. L’hybridation et le changement de taille des clés ou des messages font souvent bugger les applications anciennes (legacy).

L’avantage de l’IA : Grâce à ses capacités de raisonnement avancé, l’IA peut réécrire de manière autonome les portions de code impactées, générer des modèles de configuration sécurisés pour les architectures hybrides et intégrer directement ces correctifs dans les pipelines CI/CD sous forme de Pull Requests

3. L’audit de code et la chasse aux failles d’implémentation

Le plus grand risque lors de l’intégration de la PQC reste l’introduction involontaire de failles logicielles (erreurs de gestion mémoire, vulnérabilités par canal auxiliaire, gestion des pointeurs).

L’avantage de l’IA : En agissant comme une Red Team IA autonome, le modèle peut pilonner la nouvelle implémentation PQC de l’entreprise. Il cherche les failles logicielles autour de l’algorithme pour s’assurer que le déploiement est parfaitement hermétique avant le passage en production

4. Le contrôle de conformité continu et la gouvernance du code

La transition PQC va s’étaler sur plusieurs années. Le risque est fort qu’un développeur réintroduise par mégarde un algorithme déprécié lors d’une mise à jour de routine.

L’avantage de l’IA : placé en gardien dans le cycle de développement, l’agent IA bloque automatiquement toute tentative d’intégration de protocoles non conformes aux directives de migration de l’entreprise ou aux exigences de conformité réglementaire.

En définitive, Mythos accélère la vitesse des attaques, mais ne change pas les fondamentaux de la cybersécurité. En revanche, la surface d’attaque des implémentations exige une réponse à la hauteur

Cette réponse existe : la vérification formelle et l’audit assistés par IA transforment ce qui était une menace potentielle en un bouclier cyber. L’IA agentique résout le principal défi des projets de migration vers la PQC : le passage à l’échelle. Elle permet de basculer d’une transition artisanale, application par application, à une approche industrielle, automatisée et auditée en continu.

On ne peut alors que saluer la décision d’Anthropic d’élargir le cercle des utilisateurs de Mythos. En ouvrant l’accès à l’ENISA et à 150 nouvelles organisations dans 15 pays, l’éditeur donne aux défenseurs les armes nécessaires pour équilibrer le rapport de force. C’est une excellente nouvelle pour la résilience globale de nos infrastructures.

Se préparer dès aujourd’hui au choc quantique

Article

Se préparer dès aujourd’hui au choc quantique

Lire l’article