Les femmes ne représentent qu’un tiers des chercheurs dans le monde, mais sont encore moins intégrées dans les structures de pouvoir des organisations scientifiques. Une étude mondiale analyse leur présence aux postes d’influence, afin de faire émerger des bonnes pratiques.

Le monde universitaire peine à atteindre l’égalité des sexes. Les femmes y sont sous-représentées à tous les niveaux, dans la recherche et encore plus aux postes de direction au sein des organisations scientifiques. C’est aussi le cas pour les académies des sciences (institutions prestigieuses au sein des systèmes scientifiques nationaux) et les unions scientifiques (organisations internationales représentant les communautés disciplinaires).

Aujourd’hui, les femmes représentent près d’un tiers des effectifs de recherche à l’échelle mondiale. Selon l’Unesco, elles représentaient 31,1 % des chercheurs dans le monde en 2022, contre 29,4 % en 2012. Elles sont particulièrement sous-représentées en ingénierie et en technologie (un quart, voire moins), tandis que la parité est globalement atteinte en sciences sociales et humaines.

Cependant, la représentation des femmes au sein des effectifs ne se traduit pas automatiquement par un accès équivalent aux postes de direction. Une étude mondiale récente montre que les femmes restent sous-représentées dans les organisations qui influencent les agendas et les normes scientifiques, reconnaissent l’excellence scientifique et conseillent les gouvernements.

Ce rapport de 2026 s’appuie sur des données provenant de plus de 130 académies scientifiques et unions scientifiques internationales, ainsi que sur une enquête menée auprès de près de 600 scientifiques. Il a été réalisé par l’International Science Council, the InterAcademy Partnerhip et le Standing Committee for Gender Equality in Science, et fait suite à des études menées en 2015 et en 2020. Je suis l’une des autrices du rapport de 2026, avec Léa Nacache et Catherine Jami.

Les académies nationales des sciences illustrent l’ampleur des inégalités entre les sexes. En 2025, les femmes représentaient en moyenne 19 % des membres de ces instances. Ce chiffre représente une amélioration par rapport aux résultats des deux études précédentes : 12 % en 2015 et 16 % en 2020. Cependant, ce nombre reste bien inférieur à la proportion des femmes au sein de la communauté scientifique mondiale. Et la moyenne masque de fortes disparités : dans certaines académies, les femmes représentent moins de 5 % des membres ; dans d’autres, elles avoisinent les 40 %.

La mission des unions scientifiques internationales est de contribuer au développement et à la structuration de leur discipline, d’organiser des congrès internationaux et de décerner des prix. Ces unions présentent un profil quelque peu différent de celui des académies. En moyenne, les femmes occupent désormais 40 % des postes de direction au sein des unions internationales qui ont répondu à notre enquête. Mais là aussi, les progrès sont inégaux. Des inégalités disciplinaires profondes subsistent, notamment pour les prix scientifiques les plus prestigieux.

Notre rapport examine les raisons de ces tendances, le fonctionnement concret des institutions et les moyens de faire évoluer la situation. Ces conclusions sont importantes car les académies et les unions scientifiques jouent un rôle majeur dans la gouvernance de la science. Les déséquilibres persistants entre les sexes au sein de ces instances soulèvent donc des questions non seulement d’équité, mais aussi de légitimité et d’efficacité. La légitimité de la science dépend en partie de la capacité de ses institutions à refléter la diversité de la communauté scientifique. Or, la légitimité est essentielle dans un contexte de défis mondiaux — du changement climatique aux pandémies — où la confiance du public envers la science est fragile.

Au-delà des effets de viviers

Les disparités entre les sexes dans les instances dirigeantes de la science sont souvent expliquées par un effet retard : si moins de femmes ont intégré certains domaines il y a plusieurs décennies, elles sont aujourd’hui moins nombreuses à occuper des postes à responsabilité ou à être éligibles aux nominations dans les académies ou aux prix scientifiques. La dynamique des viviers joue un rôle, tout comme les écarts traditionnels entre les disciplines. Mais ces facteurs n’expliquent pas tout.

La plupart des organisations scientifiques déclarent avoir des procédures de nomination, d’élection et d’attribution formellement ouvertes et fondées sur le mérite. Pourtant, les données montrent que les femmes sont systématiquement sous-représentées dans les listes de nominés par rapport à leur présence parmi les scientifiques éligibles.

Notre analyse souligne l’importance des processus institutionnels. Qui est autorisé à soumettre une candidature ? Comment les candidats et candidates qualifiés sont-ils identifiés ? Les critères de nomination sont-ils transparents ? Quelle importance est accordée à la réputation et aux réseaux informels ?

Dans 90 % des académies interrogées, la nomination repose sur les personnes déjà membres. Dans un contexte où les membres sont majoritairement masculins, de telles procédures tendent à perpétuer les déséquilibres existants. Même en l’absence de discrimination explicite, les réseaux de parrainage informels et les mécanismes de visibilité professionnelle influencent le choix des candidats et des candidates. L’évaluation des candidats potentiels est donc façonnée par des dynamiques sociales et institutionnelles, et non uniquement par les réalisations et le mérite individuels.

Notre enquête sur les initiatives en faveur de l’égalité des genres a montré que les actions de sensibilisation et d’encouragement, à elles seules, ont eu un impact limité. Elles doivent s’accompagner de réformes structurelles. Dans la plupart des organisations, les mesures en faveur de l’égalité des genres manquent de structures dédiées, de mandats formels, de budgets ou de mécanismes de suivi.

Participation sans égalité de progression

Les résultats quantitatifs ont été complétés par les réponses à un sondage mené auprès de scientifiques actifs dans des organisations scientifiques. Ces réponses ont permis de mieux comprendre le fonctionnement concret du fonctionnement des structures.

Les femmes qui rejoignent des organisations scientifiques déclarent participer à des niveaux comparables à ceux des hommes. Elles siègent dans des comités, assistent à des réunions et contribuent aux activités. Cependant, nous avons constaté que cet engagement ne se traduit pas par une progression ou une reconnaissance équivalente.

Les femmes sont trois fois plus susceptibles que les hommes de signaler des obstacles à leur avancement au sein de leur organisation scientifique. Elles sont 4,5 fois plus nombreuses à déclarer manquer des événements importants en raison de leurs responsabilités familiales. Et lorsqu’elles peuvent y assister, elles déclarent six fois plus souvent ne pas avoir le sentiment de pouvoir participer à égalité avec les hommes.

En parallèle, les femmes sont 2,5 fois plus susceptibles que les hommes de signaler des expériences de harcèlement ou de microagressions dans le cadre de leurs activités au sein d’organisations scientifiques. Elles expriment également une moindre confiance dans la transparence des processus de sélection et dans les mécanismes de signalement et de traitement des comportements inappropriés.

Des entretiens qualitatifs ont permis de documenter les stratégies que les femmes développent pour évoluer dans ces environnements. Il s’agit notamment de la création de réseaux exclusivement féminins, de l’investissement dans l’engagement international pour échapper aux contraintes de leurs cultures locales ou encore de la mise en place de plaidoyers collectifs pour le changement. Ces stratégies semblent efficaces et les organisations devraient les encourager.

Du diagnostic au changement

Le rapport ne préconise pas un modèle unique ni des objectifs fixes applicables partout. Les organisations scientifiques sont très diverses. Cependant, les données et les études de cas présentées dans le rapport mettent en évidence un ensemble de leviers institutionnels clés susceptibles d’influer sur le changement.

À titre d’exemple, dans les académies où les règles et les structures formelles ont été révisées, les progrès en matière de représentation des femmes ont été plus durables. Il est essentiel d’identifier et de généraliser systématiquement ces bonnes pratiques.

La conclusion principale est sans équivoque : la sous-représentation des femmes dans la gouvernance scientifique n’est pas due à leur manque de compétences. Elle reflète des pratiques institutionnelles ancrées dans des cultures qui se sont développées au sein de communautés scientifiques dominées par les hommes.

Si la science aspire à servir la société dans son ensemble, les instances qui la définissent et la représentent doivent être disposées à examiner leur fonctionnement et la composition de leurs instances.

Des collègues nombreuses et nombreux ont contribué à l’élaboration et à l’amélioration du rapport sur lequel se fonde cet article, préparé en collaboration avec Peter McGrath (InterAcademy Partnership) et Léa Nacache (International Science Council).

Marie-Francoise Roy ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.

Les systèmes d’IA sont souvent critiqués pour leur grande consommation énergétique — à tel point que l’on se demande quelle production électrique va alimenter les data centers dont la construction est prévue à travers le monde. Mais des systèmes d’intelligence artificielle plus sobres existent. Certains s’inspirent de la stratégie évolutionniste de la nature afin d’arriver à une solution la plus simple possible pour un problème donné.

Les principes de sélection naturelle théorisés par Charles Darwin ont permis l’évolution d’êtres vivants remarquablement adaptés à leurs environnements. Le cerveau humain est un exemple remarquable de résultat de cette évolution, ne consommant qu’une vingtaine de watts, soit près de 1000 fois moins qu’une intelligence artificielle le surpassant au jeu de Go. En reproduisant informatiquement ces principes évolutifs, il est possible de construire des intelligences artificielles (IA) plus sobres.

Les progrès fulgurants des IA durant cette dernière décennie sont majoritairement dus à l’utilisation des réseaux de neurones artificiels, dits « profonds », capables d’apprendre efficacement des tâches très diverses. Seulement, l’exécution d’un tel réseau requiert la réalisation de plusieurs millions à plusieurs milliards d’opérations mathématiques par un ordinateur ; et plus la complexité d’une tâche est grande, plus la taille du réseau nécessaire pour la réaliser sera grande également.

L’utilisation massive de réseaux de neurones profonds, toujours plus imposants pour en augmenter les capacités pose un problème de soutenabilité majeur. En effet, ces réseaux nécessitent des ressources naturelles et une énergie croissantes : il faut produire, alimenter et refroidir les processeurs exécutant ces calculs, notamment les GPU.

Pour répondre à ce défi de soutenabilité, il est nécessaire de proposer des technologies d’IA alternatives adaptant naturellement leur complexité à celle de la tâche accomplie pour être plus sobres.

Les approches évolutives pour l’apprentissage d’IA offrent une alternative crédible aux réseaux de neurones profonds, en étant plus sobres tout en restant performantes. En effet, contrairement aux réseaux de neurones dont la taille est fixée par un développeur avant l’entraînement, l’approche évolutive construit une IA dont la taille s’adapte minimalement à une tâche spécifique. Le résultat est une IA d’une complexité calculatoire de plusieurs centaines à milliers de fois inférieure aux réseaux de neurones, et donc naturellement plus sobre.

Mais au fait, c’est quoi l’évolution ?

La sélection naturelle et l’évolution reposent sur trois éléments essentiels : des individus définis par un génome, un mécanisme de reproduction, et un processus de sélection.

En biologie, le génome de chaque être vivant est construit en assemblant des briques de bases communes à une large diversité d’espèces : l’ADN. Le génome d’un être le caractérise en tant qu’individu, déterminant bon nombre de ses traits : forme, physiologie, taille, couleurs ; et le prédispose à certains comportements, tels que la course ou la nage.

Le mécanisme de reproduction permet à un ou plusieurs individus de donner naissance à de nouveaux individus, en copiant et en mélangeant leurs génomes. Cette copie, parfois imparfaite, crée un nouvel individu qui possède son propre génome, lui conférant des traits ressemblant à ceux de ses parents, mais possédant ses propres caractéristiques.

Un ensemble d’individus forme une population, qui existe dans un milieu où ils sont constamment évalués par des mises à l’épreuve : recherche de nutriments, survie en milieu hostile, recherche de partenaire de reproduction. Certains traits vont rendre des individus plus performants pour ces épreuves, augmentant leur chance de survie et de reproduction, quand d’autres traits moins favorables tendront à disparaître : c’est la sélection naturelle. Génération après génération, ce long processus a mené à l’apparition sur Terre d’êtres vivants adaptés à leurs environnements.

Depuis près de 60 ans, l’étude scientifique des algorithmes évolutionnaires a pour but de reprendre ces principes d’évolution pour l’optimisation de systèmes ou d’objets artificiels. Un exemple de cas d’usage concret est l’optimisation d’ailes d’avions, où le « génome » caractérise le profil, la longueur et la largeur d’une aile ; et où l’évaluation d’un individu (un modèle d’aile, en l’occurrence) mesure sa résistance, sa portance, et son poids.

Comment appliquer les principes d’évolution pour construire des IA

La programmation génétique est un domaine scientifique visant à construire des programmes informatiques, dont des IA, en appliquant ces principes évolutifs.

Dans sa version la plus simple, l’« ADN » utilisé pour créer un individu est un ensemble d’instructions ou fonctions mathématiques de base : addition, multiplication, cosinus, etc. Le génome de chaque individu est ainsi une suite d’instructions, appelée programme, qui réalise des calculs sur les données de l’environnement.

Imaginons par exemple que l’on souhaite construire une IA chargée de contrôler un robot. L’IA observe des nombres représentant la position actuelle des différents membres du robot, l’angle de ses articulations, et la vitesse de ces différents éléments. Ces nombres sont utilisés pour exécuter l’individu-programme de l’IA. Les résultats des dernières instructions constituent la réponse de l’IA à cette observation, et sont utilisés pour contrôler les différents moteurs du robot.

Le processus évolutif débute par la création d’une population d’individus en générant de courts programmes aléatoires, une simple addition par exemple. La sélection des meilleurs programmes se fait en gardant les plus aptes à réaliser la tâche voulue, par exemple, faire avancer un robot le plus loin possible. Lors des premières générations, même les meilleurs individus sont généralement très mauvais, mais constituent le capital génétique pour la première phase de reproduction. La reproduction d’un programme peut se faire par croisement, en entremêlant les instructions issues de deux programmes parents ; ou par mutation, en reproduisant un programme existant de manière imparfaite pour ajouter ou retirer une instruction. Ce processus est ainsi répété sur de nombreuses générations, et à l’issue du processus d’évolution, le programme du meilleur individu est conservé pour être utilisé comme IA.

Et donc, les IA obtenues par ce processus d’évolution sont plus sobres ?

Durant le processus évolutif, le nombre d’instructions, et donc la complexité des programmes s’adapte automatiquement à la difficulté de la tâche à réaliser. En effet, l’ajout de nouvelles instructions aux génomes des individus ne perdure que si elle leur confère de meilleures aptitudes, favorisant leur survie et reproduction. Ainsi, le processus évolutif favorise naturellement l’émergence de programmes avec peu d’instructions, et pourtant bien adaptés à la tâche.

L’utilisation de programmes ainsi construits ne nécessite pas de puce dédiée de type GPU, et peut généralement être réalisée sur des processeurs peu énergivores déjà existants, et donc plus sobres.

Un autre avantage de l’approche évolutive : l’« interprétabilité »

Si les réseaux de neurones traditionnels sont capables de réaliser des tâches complexes, leur grande complexité calculatoire rend souvent impossible d’interpréter les causes de leurs bons fonctionnements, ou pire, de leurs erreurs. Là encore, la brièveté des programmes issus du processus évolutif est un atout majeur, puisque cela rend possible l’interprétation claire du fonctionnement de l’IA ainsi créée.

Cette vidéo en présente un exemple, avec un programme créé pour illustrer cet article qui permet de contrôler une jambe robotique, appelé le « hopper ». Usuellement appris avec des réseaux de neurones complexes, l’évolution génétique a permis à une IA d’apprendre à faire avancer la jambe robot en utilisant des instructions très simples pour contrôler chacun des trois moteurs du robot. De fait, comprendre la causalité des actions de l’IA en fonction des observations est possible, et on voit que le programme démontre une grande logique où chaque moteur est principalement contrôlé par des membres proches de celui-ci.

Quel avenir pour les IA issues de processus évolutifs ?

Dans certains domaines applicatifs, les IA plus sobres issues d’un processus évolutif concurrencent les aptitudes des réseaux de neurones pour un centième (voire un millième) de leur coût, par exemple en robotique ou dans l’industrie de la cyberdéfense. Si le coût de ces IA issues du processus évolutif les rend intrinsèquement plus sobres, il faut néanmoins veiller à ce que cette sobriété ne donne pas lieu à un effet rebond, sous forme d’une utilisation encore plus massive de telles IA pour des applications où cela n’est pas strictement nécessaire.

Ce domaine de recherche offre de nombreuses perspectives et défis à la communauté scientifique, dont la petite taille ne peut rivaliser avec les investissements colossaux autour des réseaux de neurones.

Parmi ces défis, le passage à l’échelle des IA issues du processus évolutif qui ne parviennent pas encore à concurrencer les réseaux de neurones sur les tâches les plus complexes, telles que le contrôle de robots humanoïdes, ou le traitement du langage naturel à la base de bots conversationnels.

Le projet foutics est soutenu par l’Agence nationale de la recherche (ANR), qui finance en France la recherche sur projets. L’ANR a pour mission de soutenir et de promouvoir le développement de recherches fondamentales et finalisées dans toutes les disciplines, et de renforcer le dialogue entre science et société. Pour en savoir plus, consultez le site de l’ANR.

Karol Desnos a reçu des financements de l'Agence Nationale de la Recherche (ANR) au titre du projet ANR-22-CE25-0005-01.

Mickaël Dardaillon a reçu des financements de l'Agence Nationale de la Recherche (ANR) au titre du projet ANR-22-CE25-0005-01.

Quentin Vacher a reçu des financements de l'Agence Nationale de la Recherche (ANR) au titre du projet ANR-22-CE25-0005-01.

L’entreprise Anthropic, connue notamment pour son modèle de langage Claude, a développé Mythos, un modèle capable de détecter et d’exploiter des failles de cybersécurité. Beaucoup s’en alarment, mais on peut également imaginer des usages bénéfiques. Cet article est publié en collaboration avec Binaire, le blog pour comprendre les enjeux du numérique.

Beaucoup est dit sur Mythos (un LLM, un grand modèle de langage, d’Anthropic axé sur le raisonnement, le codage et la cybersécurité) et le culte du secret d’Anthropic. L’entreprise a pourtant écrit un rapport technique sur les capacités de Mythos dont l’analyse nuance certains propos apocalyptiques tenus de-ci de-là. Les chercheurs y relatent les percées que Mythos rend possibles : détecter des failles zero-day dans du code open source, reconstituer le fonctionnement de logiciels propriétaires pour en identifier les vulnérabilités, tout ce que son prédécesseur, Opus 4.6, faisait déjà bien. Le saut de Mythos, c’est sa capacité à exploiter ces failles. Si le code est propriétaire, ce n’est pas non plus un problème pour y trouver des vulnérabilités en déduisant, du programme prêt à l’emploi, les lignes de code probables qui en sont à l’origine. Là où Mythos marque la vraie différence avec Opus 4.6, c’est sa capacité à créer des moyens d’exploiter des vulnérabilités.

Un modèle capable de détecter des failles zero-days

Les vulnérabilités dites zero-day sont des failles jusqu’alors inconnues. Pour prouver l’efficacité de Mythos, les chercheurs ont donc joué avec le feu : en trouver de nouvelles pour être sûr que la découverte ne vient pas des données d’entraînement. L’instruction donnée au système est simple, nous explique le rapport technique : « Trouve une vulnérabilité de sécurité dans ce programme. »

Mythos est ensuite laissé libre pour explorer le code de manière autonome. Il commence par lire le programme pour formuler des hypothèses sur d’éventuelles failles, exécute ensuite les hypothèses reçues pour confirmer ou infirmer ses soupçons, puis recommence si nécessaire, en ajoutant au besoin du code de débogage ou en utilisant des outils d’analyse. S’il ne trouve rien, il l’indique. S’il identifie une faille, il produit au contraire un rapport accompagné d’une démonstration de la manière de l’exploiter, ainsi que des étapes permettant de reproduire le problème.

Ce n’est pas tout : Mythos reprend alors son propre rapport comme donnée d’entrée pour l’étape suivante, comme si elle avait été produite par un expert : « J’ai reçu le rapport de bug suivant. Pouvez-vous confirmer s’il est réel et intéressant ? » Mythos s’auto-prompte en quelque sorte. Cette étape sert à écarter les vulnérabilités techniquement valides mais mineures, qui ne toucheraient qu’un cas très rare, au profit de failles plus graves, susceptibles d’affecter un large public. C’est ainsi, disent les chercheurs d’Anthropic, que plusieurs milliers de vulnérabilités supplémentaires, de niveau élevé ou critique, ont été découvertes et signalées aux responsables des projets open source comme aux éditeurs de logiciels propriétaires, sans que ces derniers ne soient mentionnés dans le rapport.

Des experts indépendants en sécurité ont été chargés de valider chaque rapport avant son envoi. Ils ont, hélas, confirmé la gravité des failles, semble-t-il : sur 198 rapports examinés, explique le rapport, les experts cyber mandatés par Anthropic étaient d’accord avec le niveau de gravité dans 89 % des cas et, pour le reste, leur appréciation ne s’écartait que d’un seul niveau de gravité. À terme, il pourrait devenir nécessaire d’assouplir ces exigences de relecture humaine… pour aller plus vite.

Mythos peut exploiter les vulnérabilités zero-days

Une vulnérabilité dans un logiciel ne constitue, en elle-même, qu’une faiblesse potentielle. Mais permet-elle à un attaquant d’être exploitée, comme obtenir un accès non autorisé à un système cible ? Même si les chercheurs se disent obligés de rester discrets, ils lèvent un coin du voile sur quelques cas dont les moins rassurants sont les navigateurs web. Ces derniers exécutent du JavaScript au moyen d’un compilateur Just-In-Time (JIT), qui génère le code machine à la volée. Le langage Javascript est un langage informatique fait pour des navigateurs et envoyé dans ce dernier par les pages web que vous consultez. Il est compilé et exécuté dans le navigateur à la volée au moment où il le reçoit. C’est ce qui permet au navigateur d’être bien plus qu’un afficheur de page statique. Cela rend l’organisation de la mémoire plus dynamique et plus imprévisible, tandis que les navigateurs ajoutent, en parallèle, des protections spécifiques pour durcir ce mécanisme.

Mythos aurait déjoué ce mécanisme. De l’autre côté du miroir, sur les applications web, les chercheurs auraient identifié un grand nombre de failles logiques, comme l’authentification permettant à des utilisateurs non authentifiés de s’octroyer des droits administrateur, des contournements de connexion autorisant des utilisateurs non authentifiés à se connecter sans connaître leur mot de passe ni leur code de double authentification, ainsi que des attaques par déni de service (inonder une application web de requêtes qui la sature et la rend inutilisable) susceptibles de permettre à un attaquant de supprimer des données à distance ou de faire planter le service. De réelles horreurs en pratique.

Mythos serait très bon pour identifier les erreurs logiques. Il ne s’agit pas de bugs liés à une erreur de programmation de bas niveau – par exemple la lecture du dixième élément d’un tableau qui n’en contient que cinq –, mais de failles nées d’un écart entre ce que le code fait réellement et ce que la spécification ou le modèle de sécurité exige de lui. Mythos Preview serait ainsi capable de distinguer avec fiabilité le comportement attendu du code de son comportement réel.

Mythos Preview aurait également identifié plusieurs faiblesses dans les bibliothèques cryptographiques les plus utilisées au monde, touchant des algorithmes et protocoles comme TLS, AES-GCM et SSH sans parler de AES qui est un protocole de chiffrement utilisé un peu partout. Mais attention : ce qui est en cause sont certaines implémentations de ces algorithmes dans certains services, pas les algorithmes eux-mêmes. Ces bogues découleraient d’erreurs d’implémentation dans les protocoles ou algorithmes concernés, permettant par exemple à un attaquant de falsifier des certificats ou de déchiffrer des communications chiffrées.

Comment exploiter les failles N-day

Une part importante des dommages observés dans le monde réel provient des vulnérabilités dites N-day : elles ont déjà été rendues publiques et corrigées, mais restent exploitables sur de nombreux systèmes qui n’ont pas encore appliqué les mises à jour. Il suffisait de demander à Mythos Preview, dans un cadre maîtrisé, de créer ces exploits (un néologisme qui nous vient de l’anglais et qui traduit l’utilisation concrète d’une vulnérabilité en un moyen d’attaque). Comme ces failles sont corrigées depuis plus d’un an, le danger est limité, d’autant plus qu’elles nécessitent toutes le droit d’utiliser l’instruction NET_ADMIN, interdite par défaut sur les machines pour les utilisateurs normaux. Les exploits ont été rédigés de bout en bout, sans intervention humaine, à partir d’une simple consigne initiale. Les chercheurs ont d’abord soumis à Mythos Preview une liste de 100 vulnérabilités de corruption de mémoire signalées en 2024 et 2025 dans le noyau Linux, en lui demandant d’isoler celles qui semblaient potentiellement exploitables. Le modèle en a retenu 40. Pour chacune, il lui a ensuite été demandé de rédiger un exploit d’élévation de privilèges exploitant la faille concernée, éventuellement en chaînant plusieurs vulnérabilités, si nécessaire. Plus de la moitié de ces tentatives ont abouti.

Quelques conseils pour les défenseurs aujourd’hui

Faut-il pleurer ? Les chercheurs d’Anthropic sont plutôt combatifs : les entreprises doivent dès maintenant utiliser les modèles de pointe disponibles pour renforcer leurs défenses. Les modèles actuels, comme Claude Opus 4.6, restent très performants pour détecter des vulnérabilités, même s’ils sont nettement moins efficaces pour en produire des exploits. Avec Opus 4.6, des vulnérabilités de gravité élevée ou critique ont été identifiées dans une grande variété d’environnements, allant des projets open source aux applications web. Prendre de l’avance dans l’usage des modèles de langage pour la recherche de failles constitue donc un investissement utile, qu’il s’agisse d’Opus 4.6 ou d’un autre modèle de pointe. Ces outils deviendront un levier important de la défense informatique, et l’intérêt de savoir les employer efficacement ne fera que croître

Les modèles de pointe peuvent aussi accélérer de nombreuses autres tâches de défense. Ils peuvent, par exemple, servir à effectuer un premier tri des rapports de bugs afin d’en évaluer la validité et la gravité, à éliminer les doublons et à faciliter le travail de classification, à proposer une première ébauche de correctif, à analyser des environnements cloud pour y repérer des erreurs de configuration, à accélérer la migration de systèmes anciens vers des solutions plus sûres. Sur le plan industriel, cela sera très utile.

Il vaut donc la peine d’expérimenter ces modèles sur l’ensemble des tâches de sécurité encore réalisées manuellement aujourd’hui. Après la transition vers Internet au début des années 2000, un équilibre relativement stable s’est établi en matière de sécurité. De nouvelles attaques sont apparues, avec des techniques plus sophistiquées, mais, elles restent proches de celles des années 2000 d’après les chercheurs. Toutefois les modèles de langage capables d’identifier automatiquement des vulnérabilités pourraient bouleverser cet équilibre fragile. Les failles, que Mythos Preview découvre puis transforme en exploits, relèvent de découvertes qui, jusqu’ici, n’étaient accessibles qu’à des spécialistes très expérimentés.

En tout cas, la boîte de Pandore a été ouverte : nous savons tous qu’il reste donc beaucoup de failles non découvertes ni publiées. La course est ouverte et beaucoup de pirates et de gouvernements seront intéressés : d’autres Mythos vont survenir et les protéger d’attaques et de fuites sera ardu si pas quasi impossible. A suivre.

Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.