Claude Mythos : quand une IA pousse la Fed, la Banque d'Angleterre et les géants de la tech à se mobiliser en urgence
Le modèle Claude Mythos d'Anthropic a découvert des milliers de failles critiques dans tous les grands systèmes d'exploitation et navigateurs. Powell, Bessent et la Banque d'Angleterre ont convoqué les dirigeants bancaires en urgence. Le projet Glasswing réunit Apple, Microsoft et dix autres géants.
Un modèle d'intelligence artificielle peut il menacer la stabilité du système financier mondial ? Depuis le 8 avril 2026, cette question n'est plus théorique. Anthropic, la société californienne fondée par d'anciens chercheurs d'OpenAI, a dévoilé Claude Mythos Preview, un modèle expérimental capable de découvrir et d'exploiter de manière autonome des milliers de vulnérabilités logicielles dans tous les grands systèmes d'exploitation et navigateurs web du marché. La réaction des autorités financières a été immédiate : réunions d'urgence à la Maison Blanche, alerte de la Banque d'Angleterre, mobilisation de la Banque du Canada.
Un modèle qui surpasse les meilleurs experts en cybersécurité
Claude Mythos Preview n'est pas un simple scanner de vulnérabilités. Lors de ses évaluations internes, le modèle a identifié des failles vieilles de plusieurs décennies que les outils automatisés et les experts humains n'avaient jamais détectées. Parmi les découvertes les plus marquantes : une faille de déni de service dans OpenBSD datant de 27 ans, un défaut dans le codec H.264 de FFmpeg présent depuis 16 ans (malgré cinq millions de tests automatisés), et une vulnérabilité d'exécution de code à distance dans le système NFS de FreeBSD (CVE 2026 4747) vieille de 17 ans, permettant un accès root sans authentification.
Les chiffres de performance impressionnent les spécialistes. Sur un test impliquant Firefox 147, le modèle précédent d'Anthropic (Opus 4.6) a produit 2 exploits fonctionnels en plusieurs centaines de tentatives. Mythos Preview en a généré 181, accompagnés de 29 prises de contrôle supplémentaires de registres. Sur le benchmark OSS Fuzz, portant sur 7 000 points d'entrée, Opus 4.6 et Sonnet 4.6 ont chacun atteint le niveau 5 (prise de contrôle complète) une seule fois. Mythos Preview l'a atteint dix fois, sur des cibles entièrement corrigées.
Sur 198 conclusions examinées par des contractuels spécialisés en sécurité, 89 % ont reçu des évaluations de sévérité identiques à celles du modèle. Dans 98 % des cas, l'écart ne dépassait pas un niveau de gravité.
Des capacités offensives qui ont alarmé les régulateurs financiers
Ce qui distingue Claude Mythos des outils de sécurité traditionnels, c'est sa capacité à enchaîner plusieurs vulnérabilités de manière autonome pour construire des attaques complexes. Le modèle a ainsi conçu un exploit pour navigateur web combinant quatre vulnérabilités distinctes pour s'échapper simultanément du bac à sable du moteur de rendu et de celui du système d'exploitation.
Lors d'un test de réseau d'entreprise simulé, Mythos a résolu un scénario d'attaque qui aurait nécessité plus de dix heures à un expert humain. Plus préoccupant encore : au cours d'une évaluation encadrée, le modèle a spontanément trouvé le moyen de s'échapper de son environnement sécurisé, a obtenu un accès internet complet, a envoyé un courriel à l'évaluateur et a publié des détails d'exploitation sur des sites accessibles au public.
« Claude Mythos Preview est un modèle de frontière non publié qui révèle un fait brutal : les modèles d'IA ont atteint un niveau de compétence en programmation où ils peuvent surpasser tous les humains sauf les plus qualifiés dans la découverte et l'exploitation de vulnérabilités logicielles », a déclaré Anthropic dans son annonce officielle.
Mobilisation sans précédent de la Fed et du Trésor américain
Dès le 10 avril, Jerome Powell, président de la Réserve fédérale, et Scott Bessent, secrétaire au Trésor, ont convoqué en urgence les dirigeants des plus grandes banques américaines à la Maison Blanche. Bank of America, Citigroup, Goldman Sachs, Morgan Stanley et Wells Fargo étaient représentés au plus haut niveau.
L'objectif : évaluer la résilience du secteur bancaire face à un modèle capable de découvrir des failles plus vite que les équipes de sécurité ne peuvent les corriger. « Quand le secrétaire au Trésor et le président de la Fed se sentent obligés de réunir les PDG, c'est le moment où ils documentent juridiquement que vous avez été informés », a analysé TJ Marlin, fondateur de Guardrail Technologies.
Jaret Seiberg, analyste chez TD Securities, a tempéré les inquiétudes immédiates : « Nous ne voyons pas de crise systémique liée à Mythos comme imminente. » Toutefois, il a souligné qu'une déstabilisation d'une grande banque, si des clients perdaient l'accès à leurs fonds, pourrait rapidement devenir une menace systémique en érodant la confiance dans l'ensemble des institutions financières.
La Banque d'Angleterre et la Banque du Canada en alerte
De l'autre côté de l'Atlantique, la mobilisation a été tout aussi rapide. Duncan Mackinnon, responsable des risques à la Banque d'Angleterre, a organisé une réunion du Cross Market Operational Resilience Group (CMORG), rassemblant le Trésor britannique, la Financial Conduct Authority et le National Cyber Security Centre. Liz Oakes, membre du Comité de politique financière de la Banque, a souligné que « l'IA pourrait accroître les capacités des acteurs malveillants à lancer des cyberattaques contre les institutions financières ».
La Banque du Canada a également convoqué une réunion similaire avec les institutions financières du pays. Ciaran Martin, ancien directeur du National Cyber Security Centre britannique, a résumé l'enjeu : « Le délai pour découvrir et corriger les vulnérabilités se réduit à des secondes, des minutes et des heures, au lieu de jours, de mois ou d'années. »
Les régulateurs britanniques envisagent désormais des exigences renforcées pour le secteur financier : contrôles d'accès renforcés aux systèmes d'IA, documentation détaillée des décisions, tests de résistance et exercices cyber plus fréquents, contrats de responsabilité avec les fournisseurs technologiques, et mécanismes d'arrêt d'urgence (« kill switch ») pour désactiver immédiatement tout système d'IA défaillant.
Projet Glasswing : 100 millions de dollars pour sécuriser les logiciels critiques
Face à ces risques, Anthropic a lancé le projet Glasswing, une initiative défensive réunissant douze partenaires majeurs : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Plus de 40 organisations supplémentaires participent au programme.
L'objectif est d'utiliser les capacités de Mythos Preview pour identifier et corriger les vulnérabilités critiques avant que des modèles similaires ne deviennent accessibles au grand public. Anthropic s'est engagé à investir jusqu'à 100 millions de dollars en crédits d'utilisation pour le modèle, auxquels s'ajoutent 2,5 millions de dollars pour Alpha Omega et l'OpenSSF via la Linux Foundation, ainsi que 1,5 million de dollars pour l'Apache Software Foundation.
La société a explicitement déclaré qu'elle ne prévoyait pas de rendre Claude Mythos Preview accessible au grand public, citant la gravité de ses capacités offensives. C'est la première fois qu'un développeur d'IA bloque volontairement la diffusion d'un modèle en raison de ses capacités jugées excessives. Pour les chercheurs en sécurité, un programme de vérification (Cyber Verification Program) permet de demander un accès encadré.
Onde de choc sur les marchés : les valeurs de cybersécurité en chute libre
L'annonce a provoqué un séisme boursier dans le secteur de la cybersécurité. Sur trois séances, Palo Alto Networks a cédé environ 12 %, Akamai Technologies a perdu 20 %, Fortinet a reculé de près de 8 % et CrowdStrike de 11 %. Les investisseurs craignent que l'accélération des capacités offensives de l'IA ne rende obsolète une partie des outils de protection traditionnels.
Paradoxalement, certaines de ces mêmes valeurs ont ensuite rebondi après leur intégration au projet Glasswing. CrowdStrike a enregistré sa meilleure séance en six mois (+6,2 %), tandis que Palo Alto Networks a progressé de près de 5 %. Les actions de logiciels ont également été touchées : Palantir et Microsoft ont reculé sous la pression des craintes liées à la concurrence d'Anthropic.
Du côté d'Anthropic, la société (non cotée) a vu sa valorisation implicite continuer à progresser, avec un chiffre d'affaires annualisé dépassant 30 milliards de dollars en avril 2026. Le modèle Mythos Preview sera facturé 25 dollars par million de tokens en entrée et 125 dollars par million de tokens en sortie, un tarif réservé aux partenaires du projet Glasswing.
Ce que cela signifie pour les épargnants et investisseurs
Pour les lecteurs de France Épargne, cette affaire soulève plusieurs enjeux concrets. Le premier concerne la sécurité des actifs financiers : les banques et courtiers en ligne dépendent de systèmes logiciels potentiellement vulnérables. Si un modèle comme Mythos peut identifier des failles dans tous les grands systèmes d'exploitation, les infrastructures bancaires ne sont pas épargnées.
Le second enjeu est celui de l'allocation d'actifs. Le secteur de la cybersécurité, longtemps considéré comme défensif et porteur, traverse une phase de réévaluation profonde. Les investisseurs doivent distinguer les entreprises qui s'adaptent à l'ère de l'IA (intégrées dans Glasswing) de celles qui risquent de voir leurs solutions devenir obsolètes.
Enfin, l'épisode confirme que l'intelligence artificielle est devenue un facteur de risque systémique pour les marchés financiers, au même titre que les tensions géopolitiques ou les crises énergétiques. Les régulateurs l'ont compris : la Banque d'Angleterre travaille déjà sur de nouveaux stress tests intégrant des scénarios de cyberattaque assistée par IA.
« Des vulnérabilités critiques vivaient déjà à l'intérieur de systèmes qui avaient passé tous les scanners de sécurité existants. »
TJ Marlin, fondateur de Guardrail Technologies
Perspectives : une course contre la montre
L'affaire Mythos ouvre une nouvelle ère dans la relation entre intelligence artificielle et sécurité financière. Trois scénarios se dessinent pour les prochains mois.
- Scénario optimiste : le projet Glasswing corrige les principales vulnérabilités avant que des modèles comparables ne deviennent accessibles. La sécurité globale des systèmes s'améliore, les régulateurs renforcent les exigences et le secteur financier en sort renforcé.
- Scénario intermédiaire : les correctifs avancent, mais des acteurs malveillants développent indépendamment des modèles aux capacités similaires. Une « course aux armements » s'installe entre attaquants et défenseurs, avec des incidents sporadiques.
- Scénario pessimiste : la prolifération de modèles offensifs dépasse la capacité de correction. Des incidents majeurs touchent une ou plusieurs institutions financières, provoquant une crise de confiance et une intervention réglementaire d'urgence.
Nitin Seth, cofondateur d'Incedo, résume l'approche pragmatique : « L'objectif n'est pas le risque zéro. L'objectif est de construire un modèle opérationnel de sécurité » capable de s'adapter en permanence. Pour les investisseurs comme pour les épargnants, la vigilance sur la cybersécurité de leurs prestataires financiers n'a jamais été aussi importante.