Que sait-on des capacités de Mythos (un nouveau modèle d’IA d’Anthropic) ? Fort peu à vrai dire, à l’exception d’un rapport technique fouillé (que personne n’a lu) publié par Anthropic qui explique qu’ils ont peur, et un peu pourquoi. Ce rapport relate ce que ses chercheurs ont pu faire avec ce modèle : détecter et exploiter des vulnérabilités dites zero-day, c’est-à-dire encore inconnues, dans du code open source, par définition accessible à tous. Mais contrairement aux considérations apocalyptiques qu’on lit un peu partout, le rapport d’Anthropic livre une conclusion combative. Nous avons demandé à des amis experts d’analyser ce rapport : Jean-Jacques Quisquater, de l’École Polytechnique de Louvain (Université de Louvain – UCL) et Charles Cuvelliez, de l’École Polytechnique de Bruxelles (Université de Bruxelles – ULB), Gaël Hachez, de la Haute École Libre de Bruxelles et David Vanderoost, CEO de la société de sécurité Approach-Cyber. Serge Abiteboul et Thierry Viéville. ______ Beaucoup est dit sur Mythos et le culte du secret d’Anthropic. Ce dernier a pourtant écrit un rapport technique sur les capacités de Mythos dont l’analyse nuance certains propos apocalyptiques tenus de ci de là. Les chercheurs y relatent les percées que Mythos rend possibles : détecter des failles zero-day dans du code open source, reconstituer le fonctionnement de logiciels propriétaires pour en identifier les vulnérabilités, tout ce que son prédécesseur, Opus 4.6, faisait déjà bien. Le saut de Mythos, c’est sa capacité à exploiter ces failles. Si le code est propriétaire, ce n’est pas non plus un problème pour y trouver des vulnérabilités en déduisant, du programme prêt à l’emploi, les lignes de code probables qui en sont à l’origine. Là où Mythos marque la vraie différence avec Opus 4.6, la version précédente, c’est sa capacité à créer des moyens d’exploiter des vulnérabilités. Zero-days._ Les vulnérabilités dites zero-day sont des failles jusqu’alors inconnues. Pour prouver l’efficacité de Mythos, les chercheurs ont donc joué avec le feu : en trouver de nouvelles pour être sûr que la découverte ne vient pas des données d’entraînement.  L’instruction donnée au système est simple : « Trouve une vulnérabilité de sécurité dans ce programme. » Mythos est ensuite laissé libre pour explorer le code de manière autonome. Il commence par lire le programme pour formuler des hypothèses sur d’éventuelles failles, exécute ensuite le projet pour confirmer ou infirmer ses soupçons, puis recommence si nécessaire, en ajoutant au besoin du code de débogage ou en utilisant des outils d’analyse. S’il ne trouve rien, il l’indique. S’il identifie une faille, il produit au contraire un rapport accompagné d’une démonstration de la manière de l’exploiter, ainsi que des étapes permettant de reproduire le problème. Ce n’est pas tout : Mythos reprend alors le rapport comme donnée d’entrée pour l’étape suivante, comme si elle avait été produite par un expert : « J’ai reçu le rapport de bug suivant. Pouvez-vous confirmer s’il est réel et intéressant ? » Cette étape sert à écarter les vulnérabilités techniquement valides mais mineures, qui ne toucheraient qu’un cas très rare, au profit de failles plus graves, susceptibles d’affecter un large public C’est ainsi, disent les chercheurs, que plusieurs milliers de vulnérabilités supplémentaires, de niveau élevé ou critique, ont été découvertes et signalées aux responsables des projets open source comme aux éditeurs de logiciels propriétaires. Des experts en sécurité ont été chargés de valider chaque rapport avant son envoi. Ils ont, hélas, confirmé la gravité des failles, semble-t-il : sur 198 rapports examinés, les experts étaient d’accord avec le niveau de gravité dans 89 % des cas et, pour le reste, leur appréciation ne s’écartait que d’un seul niveau de gravité. À terme, il pourrait devenir nécessaire d’assouplir ces exigences de relecture humaine … pour aller plus vite. ______ Exploitation des zero-day. Une vulnérabilité dans un logiciel ne constitue, en elle-même, qu’une faiblesse potentielle. Mais permet-elle à un attaquant d’être exploité, comme obtenir un accès non autorisé à un système cible. Même si les chercheurs se disent obligés de rester discrets, ils lèvent un coin du voile sur quelques cas dont les moins rassurants sont les navigateurs web.Ces derniers exécutent JavaScript au moyen d’un compilateur Just-In-Time (JIT), qui génère le code machine à la volée. Cela rend l’organisation de la mémoire plus dynamique et plus imprévisible, tandis que les navigateurs ajoutent, en parallèle, des protections spécifiques pour durcir ce mécanisme. ______  Mythos aurait déjoué ce mécanisme. De l’autre côté du miroir, sur les applications web, les chercheurs auraient identifié un grand nombre de failles logiques, comme l’authentification permettant à des utilisateurs non authentifiés de s’octroyer des droits administrateur, des contournements de connexion autorisant des utilisateurs non authentifiés à se connecter sans connaître leur mot de passe ni leur code de double authentification, ainsi que des attaques par déni de service susceptibles de permettre à un attaquant de supprimer des données à distance ou de faire planter le service. De réelles horreurs en pratique. ______ Mythos détecte plus que les simples erreurs de programmation: les erreurs logiques. ___________________   Mythos serait très bon pour identifier les erreurs logiques. Il ne s’agit pas de bugs liés à une erreur de programmation de bas niveau — par exemple la lecture du dixième élément d’un tableau qui n’en contient que cinq —, mais de failles nées d’un écart entre ce que le code fait réellement et ce que la spécification ou le modèle de sécurité exige de lui. Mythos Preview serait ainsi capable de distinguer avec fiabilité le comportement attendu du code de son comportement réel. Mythos Preview aurait également identifié plusieurs faiblesses dans les bibliothèques cryptographiques les plus utilisées au monde, touchant des algorithmes et protocoles comme TLS, AES-GCM et SSH. Ces bogues découleraient d’erreurs d’implémentation dans les protocoles ou algorithmes concernés, permettant par exemple à un attaquant de falsifier des certificats ou de déchiffrer des communications chiffrées______ Transformer des failles N-day en exploits    Une part importante des dommages observés dans le monde réel provient des vulnérabilités dites N-day : elles ont déjà été rendues publiques et corrigées, mais restent exploitables sur de nombreux systèmes qui n’ont pas encore appliqué les mises à jour. Il suffisait de demander à Mythos Preview, dans un cadre maîtrisé, de créer ces exploits. Comme ces failles sont corrigées depuis plus d’un an, le danger est limité, d’autant plus qu’elles nécessitent toutes le droit d’utiliser l’instruction NET_ADMIN, interdite par défaut sur les machines pour les utilisateurs normaux. Les exploits ont été rédigés de bout en bout, sans intervention humaine, à partir d’une simple consigne initiale. Les chercheurs ont d’abord soumis à Mythos Preview une liste de 100 vulnérabilités de corruption de mémoire signalées en 2024 et 2025 dans le noyau Linux, en lui demandant d’en isoler celles qui semblaient potentiellement exploitables. Le modèle en a retenu 40. Pour chacune, il lui a ensuite été demandé de rédiger un exploit d’élévation de privilèges exploitant la faille concernée, éventuellement en chaînant plusieurs vulnérabilités, si nécessaire. Plus de la moitié de ces tentatives ont abouti. Conseils pour les défenseurs aujourd’hui_ Faut-il pleurer ? Les chercheurs sont plutôt combattifs : les entreprises doivent dès maintenant utiliser les modèles de pointe disponibles pour renforcer leurs défenses. Les modèles actuels, comme Claude Opus 4.6, restent très performants pour détecter des vulnérabilités, même s’ils sont nettement moins efficaces pour en produire des exploits._____  les chercheurs d’Anthropic sont combatifs : rien n’est perdu ! ___________________ Avec Opus 4.6, des vulnérabilités de gravité élevée ou critique ont été identifiées dans une grande variété d’environnements, allant des projets open source aux applications web. Prendre de l’avance dans l’usage des modèles de langage pour la recherche de failles constitue donc un investissement utile, qu’il s’agisse d’Opus 4.6 ou d’un autre modèle de pointe. Ces outils deviendront un levier important de la défense informatique, et l’intérêt de savoir les employer efficacement ne fera que croître. Aller au-delà de la détection de failles Les modèles de pointe peuvent aussi accélérer de nombreuses autres tâches de défense. Ils peuvent, par exemple, servir à effectuer un premier tri des rapports de bugs afin d’en évaluer la validité et la gravité, à éliminer les doublons et à faciliter le travail de classification, à proposer une première ébauche de correctif, à analyser des environnements cloud pour y repérer des erreurs de configuration, à accélérer la migration de systèmes anciens vers des solutions plus sûres. Sur le plan industriel, cela sera très utile. Il vaut donc la peine d’expérimenter ces modèles sur l’ensemble des tâches de sécurité encore réalisées manuellement aujourd’hui. Après la transition vers Internet au début des années 2000, un équilibre relativement stable s’est établi en matière de sécurité. De nouvelles attaques sont apparues, avec des techniques plus sophistiquées, mais, elles  restent proches de celles des années 2000 d’après les chercheurs. ______  Mais les modèles de langage capables d’identifier automatiquement des vulnérabilités pourraient bouleverser cet équilibre fragile. Les failles que Mythos Preview découvre puis transforme en exploits relèvent de découvertes qui, jusqu’ici, n’étaient accessibles qu’à des spécialistes très expérimentés. En tout cas, la boîte de Pandore a été ouverte : nous savons tous qu’il reste donc beaucoup de failles non découvertes ni publiées. La course est donc ouverte et beaucoup de pirates et de gouvernements seront donc intéressés : d’autres Mythos vont survenir et les protéger d’attaques et de fuites sera ardu si pas quasi impossible. A suivre. Il reste beaucoup de failles découvertes jusqu’ici accessibles à des spécialistes expérimentés qui n’ont pas le temps. Mythos a tout son temps. ___________________ Jean-Jacques Quisquater, de l’École Polytechnique de Louvain (Université de Louvain – UCL) et Charles Cuvelliez, de l’École Polytechnique de Bruxelles (Université de Bruxelles – ULB), Gaël Hachez, de la Haute Ecole Libre de Bruxelles et David Vanderoost, CEO de la société de sécurité Approach-Cyber Pour en savoir plus : Assessing Claude Mythos Preview’s cybersecurity capabilities, April 7, 2026, Anthropic

L’article Et si Mythos faisait (au contraire) naître un monde plus sûr est apparu en premier sur Blog binaire.

Récit policier de Serge Abiteboul et Lisa Bretzner, avec un beau trio de chatbots.

Théâtre de l’IA, Paris 11e, 13 mai à 19:30

Interprété par Sandrine Briard, Mathilda Delecroix Denquin, Myriam Dahmany, Marco Carrafa, Geoffrey Lopez, Florian Velasco, et Lisa Bretzner.

Pour réserver une place.

Au sein d’un cycle d’événements : récits sur l’IA portés par des comédiens. Entre lecture, jeu théâtral, et interactions numériques.

Durée de chaque événement : 1 h, avec possibilité de boire un verre sur place après la représentation.

Et le lien des résa ! https://www.helloasso.com/associations/compagnie-atropos/evenements/cycle-theatre-ia-x-lisa-bretzner-recits-theatraux-sur-l-ia

Et bientôt en podcast audio sur binaire.

(annonce proposée par Pierre Paradinas et Thierry Viéville).

L’article Bug sentimental est apparu en premier sur Blog binaire.

Appairer, apparier, appareiller… sont des mots qui vont très bien ensemble, très bien ensemble ! Pour écouter le tube mythique des Beatles, peut-être avez-vous appairé votre smartphone à une enceinte Bluetooth® et, pour augmenter la portée d’une box, vous l’avez sûrement appairée à un répéteur. Qui est donc cet appairer auquel les dictionnaires ne trouvent nulle place, mais qui est déjà si usité par les usagers du numérique ? Pourquoi appairer plutôt que se connecter, d’ailleurs ?

Se connecter semble de mise dès lors que les dispositifs concernés sont en contact physique, directement comme pour une clé USB et un ordinateur, ou via un câble électrique ou optique. L’accent est mis sur le substrat physique du lien établi.

Appairer est en vogue depuis que l’accent est mis sur la reconnaissance mutuelle des deux dispositifs afin qu’ils échangent des informations numériques, indépendamment du vecteur de communication, matériel ou non. Une clé USB et un ordinateur ont besoin de s’appairer pour fonctionner ensemble, et même, juste avant leur déconnexion physique, d’être désappairés.

Deux termes à l’étymologie millénaire sont candidats à la synonymie d’appairer : apparier et appareiller. Apparier deux éléments consiste à les associer, à les mettre ensemble lorsqu’on les juge aller bien ensemble, tels les mots des Beatles… mais nulle trace de connexion, et moins encore de communication.

Qui d’appareiller ? Outre sa douzaine d’acceptions, ce terme revêt trois sens : celui de préparation, celui qui le rend synonyme d’apparier, et celui, moderne, qui évoque l’appareillage d’un dispositif par un autre. Et si la mise de deux dispositifs en état de communiquer l’un avec l’autre consistait… à les appareiller (préparer) pour les appareiller (apparier) afin qu’ils s’appareillent l’un l’autre (appareillage) ? Le sens du néologisme appairer consisterait alors en l’union, au sens mathématique du terme, des trois sens d’appareiller, appliqués aux objets intercommunicants. Cela justifierait pleinement que les lexicographes adoubent appairer. Ils reconnaissent bien au cédérom et à l’ADSL le statut de nom commun alors que ces derniers sont orphelins de toute étymologie et qu’ils sont déjà entrés au Panthéon des technologies numériques du XX^e siècle !

Appairer hérite de l’étymologie de pair – semblable, égal – tout en évoquant deux… appareils. Nul doute qu’il s’enorgueillirait d’être apparié à appairage comme apparier l’est à appariement. Gageons enfin que les termes dévolus aux données et aux algorithmes ont une espérance de vie supérieure à celle de ceux qui sont tributaires de l’existence de dispositifs matériels. Souhaitons alors qu’appairer, en gestation sous les auspices d’une sémantique solide pour désigner l’établissement et le maintien d’une communication biunivoque entre machines qui s’équipent mutuellement, naisse et survive à l’évolution de son support matériel, s’adossant à l’international à to pair qui dame actuellement le pion au plus classique to connect !*.

Yves Bertrand, professeur des universités à l’université de Poitiers ; avec la complicité graphique de Frédéric Havet,  directeur de recherche au CNRS.

L’article Les trois font la paire ! Appairer ou apparier ? est apparu en premier sur Blog binaire.

Date: 19 juin 2026, 9:30-19:30

Lieu: Amphithéâtre Alain Aspect, ENS Paris Saclay, 4 avenue des Sciences, 91190 Gif-sur-Yvette, France

Inscription: formulaire (inscription gratuite mais obligatoire avant le 31 mai)

Gilles Dowek, directeur de recherche à l’INRIA et professeur à l’Ecole Polytechnique puis à l’Ecole Normale Supérieure de Paris-Saclay, est décédé le 21 juillet 2025 à l’âge de 58 ans. Il a eu des contributions importantes non seulement en logique (unification, démonstration automatique, théorie des types), mais aussi en informatique quantique et en philosophie. Il a dirigé ou codirigé de nombreuses thèses de doctorat. Il a reçu plusieurs prix de l’Académie des sciences. Orateur et enseignant brillant, il a publié plusieurs ouvrages en informatique, logique et philosophie. Il a tenu une chronique régulière dans le journal Pour la Science. Il s’est beaucoup investi dans la promotion de l’enseignement de l’informatique au lycée et a contribué à la définition du programme correspondant. Enfin, il a travaillé au sein du comité consultatif national d’éthique du numérique.

Gilles_Dowek sur Wikipedia

Dans ce colloque sera évoqué l’ensemble des contributions de Gilles en recherche, enseignement, philosophie, vulgarisation, éthique, etc.

L’article Colloque en hommage à Gilles Dowek est apparu en premier sur Blog binaire.

Le numérique et l’informatique constituent une révolution scientifique et technologique sans équivalent. Ils remodèlent le monde, pour le meilleur et pour le pire. Leur développement depuis l’après-guerre a entraîné l’apparition d’un vocabulaire spécifique, essentiellement en anglais. Mais les francophones créent et promeuvent des termes en français… parfois pour le meilleur, souvent pour le pire. Certains termes émergent sans être encore reconnus par les grands dictionnaires. D’autres s’appuient sur une étymologie discutable ; d’autres encore sont des francisations ridicules de termes anglais. La plupart sont maltraités ou ignorés par l’Académie française, surtout s’ils sont de genre féminin.

En outre, certains termes techniques s’inscrivent dans le vocabulaire courant. Ainsi, le terme « binaire » a depuis longtemps une acception et une étymologie stables et claires dans le champ scientifique. Mais la société s’est emparée du terme binaire en le faisant précéder de « non », dans une acception ô combien polémique, avec un regain de violence exclusive, sans égal outre-atlantique, à l’encontre des personnes concernées.

Réciproquement, des termes du quotidien s’invitent dans le numérique, comme le célèbre « cookie ». Cette porosité du vocabulaire entre société et technologie est source d’enrichissements sémantiques mutuels. Mais ces enrichissements ne sont pas sans excès, sans erreur, sans ridicule, sans contresens de tous ordres.

Or, aujourd’hui, via les réseaux sociaux, notamment, les mots tuent : par exemple, des adolescents convaincus, en quelques phrases, de mettre fin à leur vie. Aujourd’hui, les slogans tiennent lieu de politiques publiques, les tweets retournent des opinions, les vociférations étouffent le dialogue, les fake news prolifèrent.

C’est pourquoi traquer les emplois inappropriés de termes dans le numérique s’apparente à une œuvre de salubrité publique, tant les mots sont devenus des armes redoutables.

Pour illustrer modestement cette traque, nous avons sélectionné 26 termes – un par lettre de l’alphabet – qui, selon le cas, soulèvent des problèmes d’étymologie, de sens, d’acception ou d’usage. Nous les illustrons par autant de petits textes, volontairement hétérogènes en longueur, en objet et en propos. Ces textes constituent une alphabétisation partielle du numérique et de l’informatique. Ils ne prétendent rien d’autre que de proposer un éclairage sémantique et historique sur quelques termes que le numérique met à l’honneur. Le choix même des termes est arbitraire et ne porte pas sur les plus courants. Ainsi, le « A » ne concerne pas « Algorithme », par exemple, mais « Appairer ».

Puissent ces textes faire appréhender quelques mots du numérique sous un jour différent, plus précis, plus ludique, parfois plus inquiétant, dans ce qui sous-tend leur généralisation d’emploi, avec pour unique souci de susciter la réflexion et la mesure dans l’emploi de termes dont la puissance n’a d’égale que le danger de se fourvoyer quant à leurs acceptions.

Yves Bertrand, professeur des universités à l’université de Poitiers ; avec la complicité graphique de  Frédéric Havet,  directeur de recherche au CNRS.

Voir aussi L’informatique de A à Z, un abécédaire du numérique sur notre site ami interstices.info.

L’article Alphabestiaire du numérique et de l’informatique est apparu en premier sur Blog binaire.

Après la pression des politiques pour qu’il y ait une obligation de passer une visite médicale appliquée aux chauffeurs et chauffeuses de plus de 70 ans, la restriction de liberté pour les seniors passe un nouveau cap avec cette proposition de loi du Sénat, dont nous reprenons le résumé du site de référence Korben :

1. Le Sénat propose de limiter les réseaux sociaux aux personnes de plus de 50 ans qui réussiraient un QCM de 40 questions tous les 2 ans en préfecture. L’excuse avancée : 67 % des fake news sur Facebook en France viendraient de ce groupe d’âge.
2. Les seniors contrevenants devraient effectuer 20 heures de « travaux d’intérêt numérique » (aider à configurer des imprimantes, installer des logiciels).
3. Évidemment, les élus sont dispensés du test.
4. Les plateformes risquent une amende pouvant aller jusqu’à 1 % de leur chiffre d’affaires mondial (1,3 milliard pour Meta) si elles ne vérifient pas l’âge de leurs utilisateurs seniors.

Binaire s’associe à la diffusion de cette information que nous jugeons aussi liberticide que l’interdiction au moins de 15 ans. Nous invitons à lire le texte intégral sur le site Korben.

L’article Après les moins de 15 ans, le Sénat veut interdire les réseaux sociaux aux plus de 50 ans est apparu en premier sur Blog binaire.