L’ASIC avertit les entreprises financières des risques cyber liés à l’IA

La Commission australienne des valeurs mobilières et des investissements (ASIC) a mis en garde les entreprises financières contre le renforcement de leurs défenses en matière de cybersécurité, en citant des modèles d’IA avancés comme le Mythos d’Anthropic, qui exposeraient des failles logicielles, d’après Reuters. La commissaire de l’ASIC, Simone Constant, a déclaré que les entreprises devraient agir avant que la menace ne devienne plus claire et se concentrer sur des mesures de base de résilience cybernétique.

Contexte réglementaire

L’alerte est intervenue un mois après que l’Autorité australienne de réglementation prudentielle a publié son propre avertissement sur le fait que les pratiques de sécurité peinent à suivre le rythme du développement de l’IA. Une recherche distincte du Cambridge Centre for Alternative Finance a révélé que seulement 20% des régulateurs avaient adopté une IA avancée et que les superviseurs étaient en retard par rapport aux entreprises financières dans le suivi des préjudices émergents.

Capacités d’exploitation de Mythos

L’aperçu Mythos de Anthropologic va au-delà de la simple identification des vulnérabilités : il peut écrire des exploits opérationnels pour des failles logicielles. Le modèle a trouvé et exploité de manière indépendante un bogue vieux de 27 ans dans OpenBSD, un système d’exploitation open source conçu pour la sécurité. Mythos a aussi utilisé la CVE-2026-4747 pour obtenir une exécution de code à distance en tant que root via le Network File System (NFS) sur FreeBSD, un autre système d’exploitation open source.

Anthropic a indiqué que le modèle avait identifié des milliers de vulnérabilités à haute sévérité dans des systèmes d’exploitation majeurs et des navigateurs web, dont beaucoup étaient passées inaperçues pendant des années, voire des décennies. L’accès à Mythos Preview est limité, et Project Glasswing rassemble Amazon Web Services, les équipes sécurité d’Apple, Google, Microsoft, NVIDIA et d’autres acteurs pour sécuriser des logiciels largement utilisés avant que des outils similaires ne se répandent.

Impact sur l’économie de la cybersécurité

Cette capacité modifie de façon significative le coût et le calendrier du lancement d’attaques informatiques. Des bogues auparavant considérés comme présentant un risque faible suscitent désormais davantage d’inquiétude, car Mythos Preview peut construire des exploits en quelques heures—un travail que des testeurs d’intrusion experts ont indiqué qui aurait pris des semaines avec des méthodes traditionnelles. Ce changement implique que les entreprises financières et d’autres organisations pourraient devoir mettre en place des cycles de correctifs plus rapides et des défenses davantage automatisées.

Des tests sur d’autres modèles d’IA de pointe suggèrent que des compétences cyber avancées accompagnent les progrès plus larges de l’IA, indiquant que la menace est susceptible de croître.

FAQ

Qu’est-ce que Mythos et pourquoi est-ce une source de préoccupation pour les entreprises financières ?

Mythos est le modèle d’IA avancé d’Anthropic qui peut identifier des vulnérabilités logicielles et écrire des exploits opérationnels. L’ASIC a mis en garde les entreprises financières parce que Mythos peut révéler des failles de sécurité dans des systèmes largement utilisés, réduisant le temps et le coût nécessaires pour lancer des cyberattaques au prix d’une clé API. Le modèle a démontré sa capacité à trouver des milliers de vulnérabilités à haute sévérité dans des systèmes d’exploitation et des navigateurs web.

À quelle vitesse Mythos peut-il générer des exploits par rapport aux méthodes traditionnelles ?

Mythos peut construire des exploits en quelques heures, tandis que des testeurs d’intrusion experts ont indiqué que le même travail aurait pris des semaines avec des méthodes traditionnelles. Cette accélération modifie fondamentalement l’économie de la cybersécurité et l’urgence de corriger les vulnérabilités.

Que font les régulateurs pour faire face aux risques cyber induits par l’IA ?

L’ASIC a conseillé aux entreprises financières de renforcer leurs défenses cyber et de se concentrer sur des mesures de base de résilience cybernétique avant que les menaces ne deviennent plus claires. L’Autorité australienne de réglementation prudentielle a publié un avertissement similaire sur le fait que les pratiques de sécurité sont en retard par rapport au développement de l’IA. Project Glasswing, qui implique de grandes entreprises technologiques et des acteurs du cloud, vise à sécuriser des logiciels largement utilisés avant que des outils similaires de génération d’exploits ne deviennent courants.