La dernière grande revue de Mozilla Firefox a réservé une surprise de taille. En coulisses : le navigateur a dû corriger 271 failles de sécurité après une analyse approfondie de son code par Claude Mythos, le modèle d’intelligence artificielle d’Anthropic spécialisé en cybersécurité. Loin d’être une simple expérience, cette affaire est considérée comme un tournant potentiel dans la protection des applications grand public connectées à Internet.
Mozilla se vante depuis des années que Firefox est l'un des Des navigateurs open source plus audités et plus robustesCependant, la collaboration avec Anthropic a révélé un nombre considérable de vulnérabilités latentes. Heureusement, celles-ci ont été corrigées avant d'être exploitées ; le problème réside dans la découverte de l'ampleur des failles que la surface d'attaque dissimulait encore et qui n'avaient été détectées ni par les tests manuels ni par les techniques d'analyse traditionnelles.
Firefox 150 : une mise à jour corrigeant 271 vulnérabilités.
Selon Bobby Holley, directeur technique de Mozilla, ce travail s'inscrit dans le cadre d'un collaboration directe avec Anthropique Dans le cadre du projet Glasswing, le programme restreint par lequel la société d'IA autorise ses partenaires technologiques à analyser des logiciels critiques, l'analyse s'est concentrée sur le code source du navigateur, en accordant une attention particulière aux composants sensibles tels que le moteur de rendu, le sandbox et les couches d'isolation des processus.
Holley reconnaît que, historiquement, l'industrie a supposé que Éliminer complètement les failles de sécurité était un objectif irréaliste.La stratégie consistait à rendre les attaques aussi difficiles que possible grâce à une défense multicouche, au sandboxing et à des langages plus sécurisés comme Rust, tout en admettant qu'une vulnérabilité finirait par apparaître. La découverte massive de Mythos conforte cette idée, mais montre aussi que l'équilibre pourrait commencer à basculer en faveur des défenseurs.
Le directeur technique lui-même souligne qu'une seule défaillance de cette catégorie aurait été constatée. Alerte rouge en 2025 pour une cible hautement protégéeD’où le vertige qui, selon Mozilla, s’est répandu parmi les autres équipes de sécurité lorsqu’elles ont constaté le nombre total de vulnérabilités découvertes simultanément, un scénario qui met à l’épreuve la capacité de réaction de toute organisation.
De l'œuvre au mythe : un bond en avant dans l'audit par IA
La collaboration entre Mozilla et Anthropic n'a pas débuté avec Mythos. Des mois auparavant, la fondation avait testé… Claude Opus 4.6Le modèle avancé d'Anthropic a été utilisé pour analyser une version antérieure du navigateur. Ce premier test a permis de corriger 22 failles de sécurité dans Firefox 148, dont certaines critiques, et a été considéré comme une réussite remarquable, même à l'époque.
L'arrivée de Claude Mythos Preview a cependant signifié un une augmentation d'environ douze fois du nombre de vulnérabilités détectéesAlors qu'Opus 4.6 a identifié une vingtaine de vulnérabilités, Mythos en a découvert 271 et, lors de tests internes, a généré plus de 180 exploits fonctionnels démontrant ainsi l'exploitabilité réelle de ces failles. En termes de productivité des audits, il s'agit d'une amélioration significative.
Mozilla souligne que le modèle d'Anthropic a atteint un des performances comparables à celles des chercheurs humains d'éliteL'important, précisent-ils, n'est pas que le système découvre des types de vulnérabilités entièrement nouveaux, mais qu'il soit capable de localiser systématiquement bon nombre des problèmes qu'un expert pourrait également trouver, mais en un temps beaucoup plus court et à une échelle pratiquement ingérable pour des équipes manuelles.
Un point que l'organisation insiste à souligner est que Aucune vulnérabilité hors de portée d'un bon chercheur humain n'a été détectée.Cela correspond au point de vue de Mozilla, qui ne croit pas que l'IA créera de toutes pièces des méthodes d'attaque qui remettront complètement en cause notre compréhension actuelle de la sécurité ; elle amplifie plutôt le travail qui peut déjà être effectué, mais sans les limitations de temps, de fatigue ou de ressources.
Pour une application complexe et modulaire comme Firefox, conçue précisément pour que les humains puissent comprendre ses différentes parties, cette approche est pertinente. Ce qui change, ce n'est pas tant la nature des erreurs que… capacité à découvrir beaucoup plus en moins de tempsC’est un élément essentiel pour un navigateur qui sert de passerelle vers des milliers de services et d’applications, notamment des plateformes financières, des outils de travail à distance et des services publics en ligne dans l’Union européenne.
Du modèle offensif à la tentative d'avantage défensif
Depuis des années, la sécurité des logiciels a évolué dans un Un équilibre précaire entre attaquants et défenseursLa surface d'attaque d'un navigateur moderne est si vaste qu'il est impossible de la couvrir entièrement avec les outils traditionnels, ce qui confère aux attaquants un avantage asymétrique : il leur suffit de trouver une vulnérabilité bien placée pour atteindre leur objectif.
Mozilla admet que sa stratégie repose sur une combinaison de Défense en profondeur, sandbox stricte et utilisation intensive de Rust pour minimiser certaines familles d'erreurs. Cette approche est complétée par des techniques telles que le fuzzing, qui consiste à soumettre le code à des entrées aléatoires afin de provoquer des défaillances inattendues. Cependant, l'équipe Firefox elle-même reconnaît qu'il existe des zones du code beaucoup plus difficiles à tester par fuzzingCela crée des failles dans la couverture qui peuvent être exploitées par des attaquants patients.
L'utilisation d'une IA comme Claude Mythos apporte un nouvel élément à ce problème. Contrairement aux tests aléatoires ou aux analyses manuelles, le modèle est capable de analyser le code source, identifier les schémas suspects et proposer des exploits qui permettent de déterminer si une anomalie est réellement critique. Cela réduit la dépendance exclusive à l'égard d'équipes hautement spécialisées, rares et incapables de gérer le volume de logiciels à examiner.
Pour Mozilla, cela ouvre la porte à combler progressivement l'écart entre les erreurs que les machines peuvent détecter et celles que les experts humains peuvent localiser.Si le coût de la détection des vulnérabilités diminue drastiquement pour les défenseurs, une partie de l'avantage structurel dont bénéficiaient les attaquants, habitués à consacrer des mois de travail à la recherche d'une seule faille lucrative, disparaît.
Holley admet que le choc initial de constater autant d'erreurs simultanément a été un véritable séisme intérieur, mais affirme qu'une fois le choc initial passé, le sentiment est positif : si les ressources peuvent être priorisées et les efforts concentrés sur la correction des erreurs révélées par l'IA, Les défenseurs peuvent commencer à jouer avec les mêmes armes.À condition, bien sûr, qu'il existe des équipes capables d'absorber le volume de résultats et de les traduire en correctifs efficaces.
Les risques liés à une IA de sécurité aussi puissante : une arme à double tranchant.
Parallèlement à l'enthousiasme modéré de Mozilla, une grande partie du secteur européen de la cybersécurité suit de près la situation. risque d'abus d'outils comme Claude MythosLe même système qui permet de détecter les failles de Firefox pourrait être utilisé, entre de mauvaises mains, pour automatiser la découverte des vulnérabilités des systèmes d'exploitation, des portefeuilles numériques, des applications décentralisées ou des services d'infrastructure critiques.
Anthropic est consciente de ce risque et, de fait, maintient Mythos est disponible en accès très limité via le Projet Glasswing.De grandes entreprises technologiques comme Apple, Microsoft, Google, Amazon Web Services, la Linux Foundation et Mozilla font partie de ce groupe, qui utilise ce modèle pour auditer ses propres logiciels et, dans certains cas, son infrastructure stratégique. L'objectif est de contrôler précisément ce qui est analysé et à quelles fins.
Des rapports récents indiquent que, lors de tests contrôlés, Claude Mythos a atteint Identifier et exploiter les vulnérabilités zero-day dans les systèmes largement utilisésDes navigateurs aux systèmes d'exploitation, il a même été démontré qu'il peut mener des cyberopérations complexes de manière relativement autonome, comme des simulations d'intrusion en plusieurs étapes sur des réseaux d'entreprise.
Ces capacités ont suscité l'intérêt non seulement des entreprises, mais aussi de gouvernements et agences de renseignementAux États-Unis, par exemple, il a été rapporté que la National Security Agency avait même utilisé Mythos sur des réseaux classifiés, malgré les réserves publiques quant à l'utilisation de tels outils dans des contextes de guerre ou de surveillance.
Pour l'Europe, où le débat sur le Réglementation de l'IA et protection des données La situation est particulièrement tendue ; des cas comme Firefox et Mythos fournissent des arguments à tous les camps : d'une part, ils démontrent l'importance d'une IA bien encadrée pour protéger des millions d'utilisateurs ; d'autre part, ils soulignent la nécessité de veiller à ce que ces types de modèles n'alimentent pas de nouvelles générations d'attaques automatisées à grande échelle.
Impact sur l'écosystème des logiciels libres et sur les utilisateurs européens
Firefox occupe une place unique dans le paysage des navigateurs. Bien qu'il ait perdu des parts de marché au profit de Chromium et de ses dérivés, il reste un navigateur incontournable. un élément clé dans les environnements où le logiciel libre et la protection de la vie privée sont valorisés, ainsi que de nombreuses administrations publiques européennes, institutions académiques et utilisateurs avancés des systèmes GNU/Linux.
Dans ce contexte, la découverte de 271 vulnérabilités peut être interprétée de deux manières. D'une part, elle confirme que même Même des projets open source soumis à des audits rigoureux peuvent dissimuler un grand nombre de bugs.Tout simplement parce que le code source est immense et qu'une vérification manuelle ne peut être exhaustive. En revanche, cela démontre que le modèle de développement ouvert facilite l'inspection du code par des outils externes, notamment l'IA avancée, et contribue ainsi à améliorer sa sécurité.
Mozilla reconnaît qu'avec l'aide de Mythos, elle dispose désormais d'un longue liste de tâches en attente pour renforcer la sécurité de leur application phare. Pour les utilisateurs finaux en Espagne et dans le reste de l'Europe, la recommandation est simple : garder le navigateur à jour Pour bénéficier de ces correctifs, la version 150 corrige non seulement les bogues détectés, mais maintient également le rythme des améliorations en matière de performances, de compatibilité et de fonctionnalités telles que le sandboxing et la gestion des autorisations du réseau local.
De plus, l'affaire Firefox peut servir de précédent pour autres projets open source Ces outils sont utilisés quotidiennement dans les entreprises, les organismes publics et les services critiques. Les outils largement déployés — serveurs web, bibliothèques cryptographiques, frameworks de développement — pourraient bénéficier d'audits similaires basés sur l'IA, ce qui est particulièrement pertinent dans l'Union européenne, où les directives relatives à la cybersécurité et à la résilience numérique sont de plus en plus strictes.
Le défi, comme Mozilla le reconnaît elle-même, est que nombre de ces projets ne disposent pas des ressources nécessaires. des ressources humaines ou économiques suffisantes pour absorber le flux des découvertes qu'un modèle comme Mythos peut générer. C'est là qu'interviennent les fondations de logiciels libres et les politiques publiques soutenant la sécurité des logiciels libres, une question déjà soulevée à Bruxelles suite à des incidents comme Log4Shell.
Une nouvelle phase dans la relation entre les humains et l'IA en matière de cybersécurité
Au-delà de l'anecdote des 271 vulnérabilités, l'affaire Firefox soulève une question fondamentale : changement d'orientation dans la relation entre les chercheurs humains et l'IA En matière de cybersécurité, au lieu d'opposer les deux, Mozilla préconise un modèle dans lequel les outils avancés renforcent les capacités des équipes de sécurité, sans pour autant se substituer à leur jugement ni à leur expérience.
L'organisation décrit Claude Mythos comme une sorte de chercheur en sécurité infatigableCapables d'analyser de grandes quantités de code, de proposer des failles et d'identifier les schémas de risque, des spécialistes humains restent chargés de prioriser, de confirmer, de corriger et de décider des modifications à intégrer au produit final.
Cette vision collaborative a des implications directes pour le marché européen de la cybersécurité, où des entreprises et des centres de recherche sont déjà actifs. Ils expérimentent l'IA pour les audits de code, l'analyse des logiciels malveillants ou la détection d'intrusions.Si les résultats de Mozilla sont reproduits dans d'autres projets, nous pourrions constater une réduction des délais de réaction aux défaillances critiques et une diminution, au moins partielle, de la pression exercée sur les équipes de sécurité surchargées.
Parallèlement, l’expérience d’Anthropic et de Mozilla met en évidence l’importance de Réévaluer les méthodes utilisées pour mesurer les performances des modèles d'IA Dans le domaine de la sécurité, Anthropic a elle-même admis que de nombreux tests de référence actuels se sont révélés insuffisants pour évaluer les capacités réelles de ses systèmes les plus récents, ce qui nécessite la conception de tests plus exigeants et représentatifs.
S'il y a bien une chose sur laquelle Mozilla et Anthropic semblent s'accorder, c'est que, pour l'instant, Rien ne remplace totalement le jugement humain. En matière de gestion des risques, l'IA accélère et élargit la recherche des problèmes, mais la décision concernant les problèmes à corriger, la manière de les corriger et le calendrier à respecter dépend toujours d'équipes de personnes qui doivent trouver un équilibre entre la sécurité, l'impact sur les utilisateurs et les ressources disponibles.
Tout porte à croire que la sortie de Firefox 150, intégrant les correctifs pour 271 vulnérabilités signalées par Claude Mythos, restera gravée dans les mémoires comme le moment où… La cybersécurité a franchi une étape importante vers l'automatisation intelligente.Le navigateur de Mozilla devient ainsi une étude de cas sur l'intégration de l'IA de haut niveau dans le cycle de vie du développement et de la maintenance d'un produit critique, sans pour autant négliger les risques associés ni la nécessité d'une supervision humaine étroite. Pour les utilisateurs, les développeurs et les décideurs politiques en Espagne et en Europe, la leçon est claire : l'intelligence artificielle n'est plus un simple concept futuriste, mais un outil qui commence à rééquilibrer les forces dans une bataille qui, pendant des décennies, a tourné à l'avantage des attaquants.
