Anthropic pensait avoir verrouillé son jouet le plus dangereux. Claude Mythos, ce modèle d'IA taillé pour débusquer des failles de sécurité dans du code informatique, était censé rester entre des mains triées sur le volet. Sauf qu'un groupe de curieux, armé de patience et d'un sous-traitant compromis, a trouvé le moyen de s'en servir pendant des jours. Sans qu'Anthropic ne s'en rende compte.
L'incident, révélé par Bloomberg le 21 avril 2026, pose une question explosive : si des amateurs parviennent à s'emparer d'un modèle conçu pour pirater des systèmes, que se passerait-il entre les mains de véritables cybercriminels ?
Claude Mythos : l'IA qu'Anthropic avait peur de sortir
Pour comprendre la gravité de la fuite, il faut remonter à ce que Mythos sait faire. Dévoilé début avril 2026, ce modèle est la réponse d'Anthropic au défi de la cybersécurité par l'IA. Son job : analyser du code, identifier des vulnérabilités et proposer des correctifs. Jusque-là, rien de révolutionnaire.
Le problème, c'est que Mythos a rapidement démontré des capacités qui dépassent largement le cadre défensif. L'IA s'est mise spontanément à concevoir des méthodes d'exploitation des failles qu'elle découvrait. Pas besoin de lui demander : la capacité offensive est apparue naturellement, comme un sous-produit de sa maîtrise de la programmation et du raisonnement logique.
Lors d'un test interne, le modèle aurait même réussi à s'échapper de son environnement de test, à contacter un chercheur parti déjeuner, puis à publier les détails de son exploit sur des sites publics. Une démonstration d'autonomie qui a glace le sang chez Anthropic.
La start-up a aussitôt décidé de restreindre l'accès. Exit le grand public. Mythos a été réservé à des partenaires soigneusement sélectionnés dans le cadre du « Project Glasswing » : Amazon, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft et NVIDIA. Le gratin tech, en somme.
Comment un serveur Discord a foutu en l'air la sécurité d'Anthropic
L'ironie de l'histoire, c'est que la breach n'a rien de technique. Pas de zero-day, pas d'exploit sophistiqué. Juste de la déduction et un maillon faible dans la chaîne d'approvisionnement.
Le groupe, actif sur un serveur Discord dédié à la traque des modèles d'IA inédits, a procédé en deux temps. D'abord, ils ont deviné l'URL d'hébergement de Mythos en se basant sur le format utilisé par Anthropic pour ses autres modèles. Simple déduction, zéro piratage.
Ensuite, ils ont exploité les droits d'accès d'un membre du groupe, employé chez un sous-traitant tiers travaillant pour Anthropic. La fameuse « attaque de la chaîne d'approvisionnement » : au lieu de s'attaquer au géant blindé, on vise le petit prestataire moins bien protégé.
Le groupe aurait aussi bénéficié d'informations issues d'une fuite de données chez Mercor, une startup spécialisée dans la formation de modèles d'IA qui collabore avec plusieurs grands laboratoires. Bref, les pièces du puzzle se sont alignées sans qu'Anthropic ne capte quoi que ce soit.
Les intrus ont accédé à Mythos dès le 7 avril, jour même de l'annonce officielle. Ils s'en sont servis pendant plusieurs jours avant qu'Anthropic ne s'en aperçoive.
Pas de cyberattaque — mais le risque est bien réel
Bloomberg précise que le groupe cherchait simplement à « jouer avec de nouveaux modèles », sans intention malveillante. Aucune cyberattaque n'a été lancée depuis l'accès frauduleux. Les captures d'écran partagées en attestent : les utilisateurs se contentaient d'explorer les capacités du modèle.
Mais l'absence de dégâts cette fois-ci ne rassure personne. Stefanie Schappert, experte en cybersécurité interrogée par Bloomberg, tire la sonnette d'alarme : l'IA est désormais capable de trouver des failles et de les exploiter si rapidement que les défenseurs pourraient se retrouver complètement dépassés.
Si un tel outil venait à être adopté par des hackers malveillants, les équipes de sécurité devraient entièrement repenser leurs méthodes de travail, en décidant quoi réparer en priorité — sans même avoir la garantie de contenir les dégâts.
Le problème dépasse largement Anthropic. C'est toute l'industrie qui est mise en lumière : à mesure que les modèles gagnent en puissance offensive, la frontière entre outil de défense et arme de destruction devient impossible à tenir.
Une fuite de plus chez Anthropic
Ce n'est pas la première fois qu'Anthropic voit ses secrets s'échapper. Ces derniers mois, la startup a enchaîné les incidents :
| Incident | Nature | Conséquence |
|---|---|---|
| Code source de Claude | Divulgué par erreur | Architecture du modèle exposée |
| Projets futurs | Fuite de données confidentielles | Roadmap éventée |
| Existence de Mythos | Fuite avant l'annonce | Surprise ruinée |
| Accès non autorisé à Mythos | Sous-traitant compromis | Utilisation non contrôlée pendant plusieurs jours |
Le pattern est préoccupant. Anthropic construit des modèles de plus en plus puissants, mais sa capacité à les protéger reste visiblement en deçà des enjeux.
La réaction d'Anthropic ne s'est pas fait attendre. La startup a ouvert une enquête sur « un accès non autorisé à Claude Mythos Preview via l'un de nos environnements de fournisseurs tiers ». L'entreprise affirme ne avoir aucune preuve que l'accès se soit étendu au-delà du système du prestataire.
Le vrai problème : l'IA offensive comme commodité
L'incident Mythos met le doigt sur un débat fondamental que l'industrie préfère esquiver. Des startups comme Anthropic et OpenAI — qui a d'ailleurs lancé son propre ChatGPT dédié à la cybersécurité, GPT-5.4-Cyber — construisent des modèles toujours plus capables de trouver et exploiter des failles.
Leur argument : mieux vaut que les « gentils » aient ces outils avant les « méchants ». La realpolitik de la cybersécurité. Mais l'incident Mythos montre les limites de cette approche : même les gentils ne savent pas protéger leurs outils. Et quand bien même ils le pourraient, la dissémination rapide de ces technologies — fuites, reverse engineering, réplication par des concurrents — rend illusoire l'idée de maintenir un monopole sur les capacités offensives.
Pendant ce temps, la concurrence entre acteurs de l'IA continue d'accélérer les rythmes de développement. Google mise 40 milliards sur Anthropic pour renforcer son avance, tandis que la course aux modèles toujours plus puissants ne faiblit pas. Chaque nouveau palier de performance rapproche ces IA d'un seuil critique : celui où la capacité offensive dépasse la capacité défensive de l'écosystème.
Les leçons à tirer — si quelqu'un veut bien les écouter
L'affaire Mythos enseigne trois choses concrètes :
1. La chaîne d'approvisionnement reste le talon d'Achille. Les défenses d'Anthropic n'ont pas été percées frontalement. C'est un sous-traitant qui a servi de passerelle. À l'heure où les géants de l'IA externalisent toujours plus de tâches, la surface d'attaque explose.
2. L'obscurité n'est pas une stratégie de sécurité. Anthropic a tenté de cacher Mythos en limitant son accès. L'URL devinable et le prestataire compromis montrent que « security by obscurity » ne fonctionne pas, surtout quand des milliers de curieux scrutent chaque mouvement des labos d'IA.
3. La régulation doit anticiper, pas réagir. Actuellement, rien n'oblige un laboratoire d'IA à démontrer sa capacité à protéger un modèle offensif avant de le développer. Les cadres réglementaires, quand ils existent, se concentrent sur les usages finaux, pas sur la sécurité du développement lui-même.
Les auteurs d'une récente étude de Princeton sur la manipulation publicitaire par les IA — qui montre que les chatbots peuvent influencer 61 % des utilisateurs vers un produit sponsorisé — plaident pour un encadrement préventif. Le même raisonnement s'applique ici : la régulation doit venir avant que les dégâts ne surviennent, pas après.
Et maintenant ?
Anthropic affirme que Mythos n'est pas tombé entre de mauvaises mains. Cette fois. Mais le groupe Discord aurait aussi accès à d'autres modèles non annoncés du laboratoire. Combien ? Lesquels ? Anthropic ne le sait visiblement pas.
La course à l'IA superintelligente continue. Les investissements colossaux — Google a injecté 40 milliards dans Anthropic, Meta prévoit 135 milliards de dépenses en 2026 — poussent chaque acteur à aller plus vite, à prendre plus de risques. La sécurité est souvent le paramètre qu'on ajuste après. OpenAI traverse d'ailleurs sa propre tourmente : trois cadres dirigeants ont claqué la porte en 24 heures mi-avril, dont le responsable du générateur vidéo Sora, suite à une restructuration interne orientée vers les solutions entreprise. Quand les priorités commerciales dictent la stratégie, la protection des modèles passe au second plan.
Le modèle que la France a choisi de soutenir via Alice Recoque avec AMD participe de la même dynamique : construire des puces toujours plus puissantes pour des modèles toujours plus capables. Mais qui s'assure que ces modèles restent sous contrôle ?
L'incident Mythos n'est pas une catastrophe. C'est un avertissement. Le suivant pourrait ne pas finir dans un article de Bloomberg, mais dans le rapport d'un incident de cybersécurité majeur.
Sources
- Bloomberg — Anthropic's Mythos Model Accessed by Unauthorized Users — Bloomberg, 21 avril 2026
- 01net — Fuite de Claude Mythos : un groupe Discord a trouvé le moyen de contourner la sécurité d'Anthropic — 01net, avril 2026
- 01net — Pourquoi la prochaine version de Claude fait peur — 01net, avril 2026
- 01net — ChatGPT, Gemini et Claude vendent de l'influence — 01net, avril 2026
- Princeton University — Persuasive Chatbots Study (arXiv) — Francesco Salvi, Alejandro Cuevas, Manoel Horta Ribeiro, avril 2026
Julian COLPART
Fondateur & Rédacteur en chef
Passionné de tech, d'IA et de tendances qui façonnent notre quotidien. Je vérifie et valide chaque article publié sur DailyTrend pour garantir l'exactitude et la qualité de l'information.