Parce que… c’est l’épisode 0x305!
Shameless plug
24 et 25 juin 2026 - Troopers
26 et 27 juin 2026 - leHACK
19 septembre 2026 - Bsides Montréal
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Description
Dans cet épisode, l’animateur réunit son trio composé de Cyndie Feltz, Nicholas Milot et Dominique Derrier pour discuter de Mythos, un sujet qui fait beaucoup les manchettes. D’entrée de jeu, l’équipe précise que l’important n’est pas tant Mythos en soi — entouré de beaucoup de bruit et de marketing — que la prise de conscience qu’il provoque : les modèles d’IA, qu’ils soient spectaculaires comme Mythos ou plus sobres comme Opus, marquent un changement de paradigme dans la découverte de vulnérabilités et dans la façon dont les attaquants opèrent. L’enjeu central pour les PME est simple : il deviendra encore plus facile de s’attaquer aux systèmes, alors que c’était déjà facile.
Qu’est-ce que Mythos ?
Pour ceux qui auraient « vécu sous une roche » ces dernières semaines, l’équipe explique le concept. Nous sommes à l’ère de l’IA et des LLM (large language models), capables de générer des images, de communiquer, de faire du « vibe coding ». Des chercheurs ont eu l’idée d’utiliser ces modèles pour découvrir des vulnérabilités dans les applications. En poussant le modèle, on obtient une puissance démultipliée — quoique coûteuse en tokens — capable d’analyser du code, de tester et de trouver les failles permettant de pénétrer les systèmes.
Mythos est un modèle hautement spécialisé qui n’est pas encore réellement accessible au public; seules de grosses organisations et certains gouvernements peuvent y accéder. L’équipe évoque le fait qu’Anthropic l’utiliserait elle-même pour tester de grands projets open source, et mentionne un projet (« Glass Wind » ou similaire) regroupant de gros joueurs comme CrowdStrike, Amazon et Apple, qui utiliseraient Mythos pour sécuriser les systèmes. Un participant souligne avec ironie l’angle marketing : si l’outil était vraiment si dangereux, Anthropic n’en aurait simplement pas parlé et l’aurait gardé à l’interne.
Un outil à double tranchant
Les intervenants insistent : il s’agit avant tout d’un excellent outil d’analyse de code permettant de corriger des vulnérabilités. C’est précisément le travail quotidien de Nicholas et Cyndie. L’avantage d’une machine, c’est qu’elle ne dort pas la nuit ni les fins de semaine — elle fonctionne 24/7, sans relâche. L’exploit le plus médiatisé a été la découverte de vulnérabilités dans le navigateur Firefox, des failles qu’un humain n’aurait peut-être pas trouvées dans un temps ou avec une logique humaine.
Un point technique crucial est soulevé : Mythos n’est pas un outil « point and shoot ». Il ne suffit pas de pointer une URL pour faire pirater une application. Il faut fournir le code source de l’application. C’est une nuance importante, d’autant que bien des organisations — voire des gouvernements — ne savent même pas où se trouve leur propre code source.
L’équipe reste honnête : en mai 2026, leur propre métier de recherche de failles repose déjà sur l’IA, tout en conservant un volet manuel. Ils perfectionnent leurs propres outils. Et les acteurs malveillants, moins scrupuleux, font exactement la même chose. C’est là le vrai message : l’IA va faciliter et accélérer les attaques.
L’aspect positif demeure : connaître ces vulnérabilités permet de les corriger et de produire du code plus sécuritaire. La fondation Mozilla profite ainsi du travail effectué, et personne ne peut s’opposer à du code plus solide — surtout pour un navigateur, qui constitue notre principale porte d’entrée vers Internet.
La limite des humains et des machines
Preuve que l’IA ne remplace pas tout : Anthropic a justement lancé un programme de bug bounty cette semaine. À la question « pourquoi ne pas simplement utiliser Mythos? », la réponse est que le modèle n’est pas encore capable de trouver tous les bugs qu’un humain détecterait, et vice versa. L’humain et l’IA ne perçoivent pas le code ni l’application de la même manière.
L’impact pour les PME
Faut-il paniquer? Non, mais il faut accélérer. Le mantra d’hygiène de base en cybersécurité reste valable, mais doit devenir plus strict. Il faut accélérer les déploiements et l’application des correctifs. D’autres modèles arriveront, possiblement bon marché (un « DeepSeek » de la vulnérabilité), donc la pression de correction touchera toutes les entreprises. Les notions d’inventaire, de mise à jour et d’application des correctifs deviennent incontournables : on ne pourra plus dire « on sait qu’on a des portes ouvertes et on vivra avec ça. »
Les intervenants notent toutefois avec lucidité que beaucoup de clients peinaient déjà à maintenir un inventaire à jour et à gérer leur programme de vulnérabilités, avec des outils comme Tenable. S’exciter pour Mythos sans d’abord régler ces bases serait contre-productif. Il faut prendre le dessus sur ses vulnérabilités actuelles et tenir un inventaire d’actifs à jour avant même de songer à utiliser ce type d’outil. Cette hygiène n’est plus optionnelle : sans elle, impossible de sortir la tête de l’eau. Et dès qu’une vulnérabilité reçoit un nom médiatisé — comme Heartbleed ou Dirty COW —, on ne peut plus l’ignorer : sinon, c’est le patron ou les clients qui exigeront une action.
L’analogie finale
L’animateur propose une analogie : avant, les voleurs d’autos étaient peu nombreux dans un quartier tranquille. Aujourd’hui, votre voiture se trouve dans un quartier chaud où de nombreux voleurs potentiels circulent. Vous n’êtes pas mieux protégé, mais votre risque augmente fortement. La priorité n’est plus de craindre les outils sophistiqués, mais de commencer par verrouiller ses portes. L’équipe conclut que, là où l’on connaissait peut-être un incident par année, on risque désormais un incident par mois sans une hygiène suffisante. Le message final : verrouillez vos portes, car vous n’avez plus le choix.
Collaborateurs
Nicolas-Loïc Fortin
Dominique Derrier
Cyndie Feltz
Nicholas Milot
Crédits
Montage par Intrasecure inc
Locaux virtuels par Riverside.fm
Canada - english