SovereigntyGap.
SovereigntyGap.sovereignty-gap.eu

Famille 7 · ~14 min de lecture

Le tournant IA et l'inversion de la transparence

Cas qui démontrent que l'arrivée d'agents d'intelligence artificielle capables d'auditer le code à grande échelle change l'équation historique de l'open source.

Thèses illustrées 09 · 10 · 11

L’arrivée d’agents d’intelligence artificielle capables d’auditer le code à grande échelle change l’équation historique de l’open source. La loi de Linus — given enough eyeballs, all bugs are shallow — supposait une arithmétique humaine où défenseurs et attaquants disposaient des mêmes capacités de lecture. Cette équation se rompt avec des modèles capables de scanner exhaustivement des millions de lignes de code en quelques minutes. Les cas qui suivent documentent ce changement de régime, et son matériel empirique récent.

Avertissement honnête : cette famille documente des événements très récents (avril 2026), dont la portée structurelle exacte ne sera connue qu’avec plusieurs mois de recul. Une partie de la communauté sécurité considère que les annonces d’Anthropic relèvent en partie d’un coup de communication, et la pleine indépendance des revendications n’a pas encore été validée par des audits externes complets. Les fiches qui suivent reproduisent les faits documentés et les contre-expertises publiées à date. Si dans 12-18 mois les annonces Mythos se révèlent surévaluées, la thèse 9 du manifeste resterait valide pour deux raisons indépendantes : d’une part, la fragilité du supply chain documentée dans la famille 6 (XZ, Heartbleed, Log4Shell, IngressNightmare) suffit déjà à établir l’asymétrie défensive ; d’autre part, le cas Copy Fail documenté plus loin dans cette même famille (CVE-2026-31431, disclosure indépendante d’Anthropic par Theori en avril 2026) fournit une preuve publique, reproductible et patchée d’une découverte de zéro-day kernel par IA, indépendante du modèle frontière propriétaire d’un seul acteur.

Project Mythos d’Anthropic — La première démonstration publique#

Date du fait : 7 avril 2026 Statut : confirmé, modèle non publié Thèses du manifeste illustrées : 9, 10

Le fait#

Le 7 avril 2026, Anthropic publie un billet de blog technique annonçant les capacités de son nouveau modèle, baptisé Claude Mythos Preview. Le modèle, expliquent les équipes red team d’Anthropic, est capable de découvrir et d’exploiter de façon entièrement autonome des vulnérabilités zéro-day — c’est-à-dire jamais identifiées auparavant — dans des codebases open source réelles.

Parmi les trouvailles documentées :

  • CVE-2026-4747, une faille de dépassement de tampon dans la fonction svc_rpc_gss_validate de FreeBSD, vieille de 17 ans, donnant un accès root distant à un attaquant non authentifié sur toute machine exposant NFS.
  • Un bug de 27 ans dans OpenBSD, exhumé par le modèle.
  • Anthropic affirme avoir identifié des milliers de vulnérabilités zéro-day dans la quasi-totalité des grands systèmes d’exploitation et navigateurs web, dont moins de 1 % avaient été corrigées par leurs mainteneurs au moment de l’annonce.

Le détail décisif est la décision d’Anthropic de ne pas rendre Mythos disponible publiquement, ce qui est exceptionnel pour un modèle commercial. À la place, l’entreprise a lancé Project Glasswing, une initiative dotée de 100 millions de dollars en crédits d’utilisation et de 4 millions en dons à des organisations de sécurité open source, dont l’objectif est d’aider les défenseurs à se préparer à un monde où ces capacités existent. Le consortium initial comprend Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. L’accès à Mythos Preview est commercialement onéreux : 25 dollars en entrée et 125 dollars en sortie par million de tokens, soit environ cinq fois le prix de Claude Opus 4.6.

Réception critique#

L’annonce a été contestée. Tom’s Hardware a publié une analyse pointant que les revendications spectaculaires d’Anthropic — « des milliers de zero-days dans tous les grands systèmes d’exploitation » — reposaient en réalité sur 198 revues manuelles documentées dans le system card du modèle, et que le ton retenu par Anthropic relevait au moins en partie d’un argument commercial déguisé en alerte. Le Centre for Emerging Technology and Security (CETaS) du Turing Institute a quant à lui souligné que la pleine indépendance des revendications ne pourrait être validée que sur plusieurs mois.

Logan Graham, qui dirige la recherche en cyber offensive chez Anthropic, a déclaré publiquement à NBC News qu’il s’attendait à voir des capacités comparables largement distribuées dans six à douze mois, notamment via des modèles open-source chinois. La secrétaire au Trésor américaine Scott Bessent a convoqué les principales institutions financières du pays pour discuter du sujet.

Ce qu’il démontre#

Project Mythos est, à ce jour, la première démonstration publique et documentée d’une capacité IA capable d’exploiter à grande échelle la transparence du code open source comme surface offensive. Il modifie qualitativement l’asymétrie entre attaquants et défenseurs.

Pour le débat sur la souveraineté open source, ce cas montre que :

  1. La transparence du code n’est plus en elle-même un acquis défensif. Elle exige, pour le rester, des moyens d’audit symétriques aux capacités offensives.
  2. Le décalage temporel entre découverte et patch devient critique. Si un modèle peut découvrir des milliers de zéro-days en quelques jours, et que les mainteneurs corrigent à un rythme historique de quelques par an, la fenêtre d’exposition explose.
  3. L’investissement défensif ne peut plus être laissé au bénévolat. Les défenseurs de briques critiques ont besoin d’accéder à des capacités IA pour rester en équilibre — sinon le rapport de forces bascule structurellement.

Sources#

Contre-expertise AISLE — La capacité offensive est déjà accessible#

Date du fait : 8 avril 2026 (publié le lendemain de l’annonce Mythos) Statut : confirmé Thèses du manifeste illustrées : 9, 10

Le fait#

AISLE, une société indépendante de recherche en sécurité IA, publie le 8 avril 2026 — soit le lendemain de l’annonce Mythos — une contre-expertise des capacités revendiquées par Anthropic, intitulée AI Cybersecurity After Mythos: The Jagged Frontier. L’article est signé par Stanislav Fort, fondateur et chief scientist d’AISLE. Le code, les prompts et les transcriptions complets sont publiés sur le repository GitHub stanislavfort/mythos-jagged-frontier, permettant à quiconque de reproduire les résultats.

AISLE prend les vulnérabilités phares mises en avant par Anthropic dans son annonce et les soumet à des modèles open-source de petite taille, bon marché.

Le résultat est sans appel : huit modèles sur huit ont détecté l’exploit FreeBSD vedette d’Anthropic. Un modèle de seulement 3,6 milliards de paramètres actifs, accessible pour 0,11 dollar par million de tokens, a correctement identifié le buffer overflow et calculé l’espace tampon résiduel. Un modèle de 5,1 milliards de paramètres a reconstitué la chaîne d’exploitation du bug OpenBSD vieux de 27 ans. Un test de faux-positif sur 25 modèles montre une inversion d’échelle : les petits modèles open-source produisent souvent moins de faux positifs que les modèles frontière coûteux.

AISLE a publié quelques semaines plus tard une étude de suivi, System Over Model: Zero-Day Discovery at the Jagged Frontier, montrant qu’avec un système d’analyse simple (un seul fichier Python, pas d’agentique sophistiquée), des modèles bon marché peuvent découvrir des bugs réels en scannant un codebase entier sans qu’on ait à leur indiquer où regarder.

Ce qu’il démontre#

La contre-expertise AISLE est la pièce qui rend l’argument de Mythos opérationnel, pas seulement théorique. Si les capacités étaient l’apanage exclusif de modèles frontière fermés (comme le suggérait initialement Anthropic), on pourrait imaginer une régulation par contrôle d’accès des modèles. Mais AISLE démontre que ces capacités sont déjà accessibles via des modèles open-source que n’importe quel acteur — étatique, criminel, activiste — peut télécharger et exécuter sur son matériel.

L’asymétrie attaquant/défenseur n’est donc pas un problème à venir : c’est un problème présent. Et il pèse particulièrement lourd sur les écosystèmes open source dont le code est par construction publiquement scannable, en l’absence d’investissement défensif comparable.

Sources#

Copy Fail (CVE-2026-31431) — Première découverte publique de zéro-day kernel par IA, hors Anthropic#

Date du fait : disclosure publique le 29 avril 2026 ; rapport initial 23 mars 2026 ; patch upstream 1ᵉʳ avril 2026 Statut : confirmé, exploitable à 100 %, ajouté à la liste KEV (Known Exploited Vulnerabilities) de la CISA Thèses du manifeste illustrées : 9, 11

Le fait#

Le 29 avril 2026, la société de cybersécurité Theori (Corée du Sud) divulgue publiquement Copy Fail (CVE-2026-31431), une vulnérabilité d’élévation de privilèges locale dans le kernel Linux. Le bug a été identifié par le chercheur Taeyang Lee à l’aide de Xint Code, l’outil interne de scan de sécurité assisté par IA développé par Theori. Le bug avait été reporté au noyau le 23 mars 2026 et patché upstream le 1ᵉʳ avril, soit moins de deux semaines après le rapport initial — un délai très court pour une faille de cette portée.

Le détail technique mérite d’être souligné. Copy Fail est un défaut logique dans le module algif_aead du sous-système cryptographique Linux, résultant de l’interaction de trois changements introduits sur quatorze ans : l’ajout du wrapper cryptographique authencesn (utilisé par IPsec) en 2011, l’introduction du support des sockets AEAD via AF_ALG en 2015, et une optimisation in-place ajoutée dans algif_aead.c en 2017. Aucun des trois changements n’était fautif isolément. C’est leur composition qui a ouvert la faille — exactement le type d’erreur qu’un audit humain bien intentionné laisse passer parce qu’il faut tenir trois fichiers, trois conventions et trois auteurs en mémoire pour la voir.

Le résultat : un script Python de 732 octets suffit à un utilisateur local non privilégié pour obtenir les droits root sur Ubuntu, Amazon Linux, RHEL, SUSE, Debian, Fedora et Arch Linux — toute distribution embarquant un kernel publié entre 2017 et avril 2026. L’exploit fonctionne 100 % du temps, sans race condition ni timing window, et l’écriture de quatre octets dans le page cache permet de modifier un binaire setuid sans toucher au fichier sur disque. Score CVSS 7.8. La CISA ajoute la CVE à son catalogue Known Exploited Vulnerabilities et fixe au 15 mai 2026 la date butoir pour les agences fédérales américaines. Les patches sont disponibles dans les versions kernel 6.18.22, 6.19.12 et 7.0.

Theori a publié sur GitHub un proof-of-concept reproductible ainsi qu’un descriptif complet de la chaîne d’exploitation. Le code IA utilisé pour la découverte n’est pas publié, mais la disclosure documente précisément ce que le modèle a vu et comment il a procédé — suffisamment pour qu’un chercheur tiers puisse reproduire l’approche.

Ce qu’il démontre#

Là où Project Mythos a livré une annonce maximaliste assortie d’un retrait commercial du modèle, et où AISLE a démontré que des modèles open-source pouvaient suivre, Copy Fail livre un cas concret, indépendant, reproductible qui répond à la question que la communauté sécurité attendait : les capacités IA offensives peuvent-elles produire, en mode défensif, des trouvailles de niveau zéro-day sur du code critique et largement déployé ?

La réponse est oui, et trois enseignements en découlent :

  1. L’IA défensive est aujourd’hui opérationnelle, hors Anthropic. Une équipe de cybersécurité non-américaine, avec un outil propriétaire mais non frontière, a trouvé en quelques semaines de scan ce que neuf ans d’audit humain ouvert sur l’un des sous-systèmes les plus regardés du noyau Linux n’avaient pas vu. Le scénario que la thèse 9 du manifeste appelle — « doter les défenseurs des briques critiques de moyens d’audit et de réponse à la mesure des nouvelles capacités offensives » — n’est pas une projection. Il est en train de se déployer chez les acteurs équipés, avec les bénéfices défensifs correspondants.

  2. Le bug de neuf ans signe un échec d’audit humain dans le périmètre le plus regardé qui soit. Le sous-système crypto du kernel Linux n’est pas un coin obscur du code : c’est l’une des couches les plus auditées au monde, scrutée par des équipes red team d’éditeurs majeurs, par des chercheurs universitaires, par des agences de sécurité étatiques. Et pourtant, un défaut logique introduit en 2017 a survécu jusqu’en 2026. La loi de Linus — given enough eyeballs, all bugs are shallow — supposait une arithmétique humaine qui, manifestement, ne tient pas pour les bugs de composition. C’est précisément ce que la thèse 9 nomme : la transparence du code n’est un acquis défensif qu’à condition que des moyens d’audit à la mesure des capacités offensives soient effectivement mobilisés.

  3. Le déséquilibre Europe/équipés s’installe. Theori est une entreprise sud-coréenne. L’outil Xint Code n’est pas commercialement disponible aux acteurs européens. Aucun équivalent européen public n’a, à ce stade, fait la démonstration d’une trouvaille comparable sur le supply chain qu’utilisent les administrations et entreprises du continent. Tant que ce déséquilibre persiste, l’Europe reste structurellement dépendante des découvertes — et donc des choix de divulgation — d’acteurs hors UE pour la sécurité du code qu’elle déploie. C’est exactement le déséquilibre que les axes 1 et 2 du programme positif appellent à combler par l’investissement public et le financement structuré des défenseurs.

Pour la dimension supply chain — un défaut logique de neuf ans dans un sous-système crypto kernel critique — voir aussi la famille 6, qui inscrit Copy Fail dans la lignée XZ Utils / Heartbleed / Log4Shell / IngressNightmare.

Sources#

Exploitation criminelle Claude + DeepSeek — La preuve par l’usage#

Date du fait : opération entre janvier et mars 2026, divulguée en avril 2026 Statut : confirmé Thèses du manifeste illustrées : 9, 10

Le fait#

Selon une enquête publiée par CNN en avril 2026, citant la cellule de recherche en sécurité d’Amazon Web Services (AWS), un cybercriminel russophone a utilisé conjointement Claude (Anthropic) et le modèle chinois open-source DeepSeek dès janvier 2026 pour compromettre plus de 600 équipements protégés par un logiciel de pare-feu populaire dans plus de 55 pays.

AWS souligne que l’attaquant disposait de capacités techniques limitées — l’IA lui a permis d’industrialiser et de mettre à l’échelle des techniques qu’il n’aurait pas pu maîtriser seul.

Ce qu’il démontre#

Ce cas est la preuve par l’usage que les capacités décrites dans Mythos et confirmées par AISLE ne sont pas hypothétiques. Elles sont déjà déployées par des acteurs hostiles, à grande échelle, contre des organisations en Europe et dans le monde. La barrière d’entrée à l’attaque sophistiquée s’effondre : un acteur sans grandes compétences techniques peut désormais industrialiser des attaques en utilisant des modèles disponibles sur étagère.

Pour les organisations européennes utilisatrices de logiciels open source critiques, cela signifie que la fenêtre temporelle pour investir dans les capacités défensives IA n’est pas de plusieurs années — elle est de quelques mois. Sans cet investissement, l’open source devient une surface d’attaque privilégiée pour des adversaires correctement équipés.

Sources#

La loi de Linus en perspective historique#

Origine : Eric Raymond, La cathédrale et le bazar (1999) Statut : remise en cause structurelle depuis 2024 Thèses du manifeste illustrées : 9

Le fait#

La loi de Linus, formulée par Eric Raymond et inspirée par Linus Torvalds, énonce que given enough eyeballs, all bugs are shallow — donné suffisamment de paires d’yeux, tous les bugs deviennent superficiels. Cette formule est devenue le fondement idéologique de la sécurité open source : la transparence du code, lue par de nombreux développeurs, garantirait que les failles soient découvertes par les défenseurs avant les attaquants.

Ce qu’il démontre#

La loi de Linus était une affirmation d’arithmétique humaine : un nombre suffisant de paires d’yeux humains finit par voir tous les bugs. Mais cette arithmétique supposait que les défenseurs étaient au moins aussi nombreux et motivés que les attaquants à scruter le code.

La famille 6 (XZ Utils, IngressNightmare, Heartbleed, Log4Shell) a montré que cette hypothèse ne tenait déjà plus avant l’IA : du côté humain, le bénévolat critique laissait des composants stratégiques sous-maintenus. Avec l’IA agentique de niveau Mythos (et plus encore avec sa diffusion via les modèles open-source confirmée par AISLE), l’arithmétique de l’attaquant change qualitativement : un modèle d’IA peut éplucher exhaustivement une codebase de plusieurs millions de lignes en quelques minutes, avec une persistance et une exhaustivité dont aucun humain n’est capable.

Le résultat net est que la transparence du code, qui constituait un avantage défensif quand seuls des humains lisaient le code, devient à l’ère de l’IA un avantage offensif beaucoup plus utile pour quiconque dispose des outils. Cette inversion ne disqualifie pas l’open source — la sécurité par l’obscurité est, et reste, une chimère — mais elle exige une refonte de la posture défensive.

Le caveat sectoriel. Pour certains secteurs — défense, infrastructures critiques, énergie, santé, finance, administrations sensibles —, l’inversion change le calcul concrètement. Un attaquant équipé d’une IA peut scanner silencieusement le code source publié, identifier des failles non triviales, et les exploiter — sans alerter, sans contribuer de patch, sans responsible disclosure. C’est l’opposé du cas Copy Fail documenté plus haut, où Theori/Xint a divulgué responsablement la faille kernel découverte par IA défensive ; ce qui rend Copy Fail instructif est précisément qu’il aurait pu rester silencieux et exploité criminellement. Dans ces secteurs, le propriétaire assorti de mécanismes contractuels solides — réversibilité testée d’abord, droit d’audit ciblé ensuite, séquestre en filet — peut offrir un meilleur profil souverain qu’une publication open source qui exposerait la surface d’attaque sans contrepartie défensive proportionnée. Cette nuance ne disqualifie pas l’open source pour ces secteurs : elle exige que la posture défensive associée (financement de mainteneurs équipés en IA défensive, programme de bug bounties à la hauteur, audit IA mobilisé en mode défensif) soit à la mesure de l’asymétrie offensive. Le manifeste ne tranche pas le choix licence ouverte / licence propriétaire — il rend visible les conditions d’équivalence dans chaque cas. Voir la page d’orientation pour les éditeurs propriétaires pour la déclinaison opérationnelle de cette nuance.

Sources#

→ Engagements opérationnels associés#

À ce stade, le dispositif ne porte aucun engagement directement spécifique aux capacités défensives IA — angle mort assumé du catalogue actuel, qui sera traité à mesure que des bonnes pratiques se stabilisent. Plusieurs engagements existants concourent toutefois à la mise en place des moyens dont la thèse 9 du manifeste appelle l’investissement.

Catalogue complet des engagements →

Lire le manifeste →