CISA passe le code fédéral au crible avec Mythos d'Anthropic
TL;DR
- L'équipe Attack Surface Evaluation de la CISA utilise Mythos, le modèle d'Anthropic, pour scanner les dépôts de code du gouvernement fédéral.
- Deux sources indiquent à Reuters que les audits ont déjà mis au jour « un grand nombre de vulnérabilités », sans préciser l'ampleur ni la sévérité.
- La NSA utilise Mythos depuis au moins avril; en février le Pentagone avait signalé Anthropic en risque supply-chain, mesure bloquée par un juge en mars.
L'agence américaine de cybersécurité CISA a mis Mythos, le modèle spécialisé d'Anthropic, au travail sur les dépôts de code des agences fédérales, à la recherche de bugs qui « pourraient laisser la porte ouverte aux espions étrangers et aux cybercriminels », selon Reuters. L'opération est pilotée par l'équipe Attack Surface Evaluation, un groupe interne à la CISA qui mène habituellement des évaluations de sécurité et des exercices de piratage sur le périmètre gouvernemental.
Deux sources citées par l'agence affirment que ces audits ont déjà mis au jour « un grand nombre de vulnérabilités », sans préciser lesquelles. Reuters indique elle-même ne pas avoir pu établir la quantité exacte de code passée en revue, ni la nature ou la sévérité des bugs remontés. Il faut donc prendre la formule comme une source unique et non comme un décompte vérifié.
Le déploiement referme en pratique un dossier politique récent. En février, le Pentagone avait apposé à la société un signalement formel de risque supply-chain après son refus de lever certains garde-fous, notamment sur les armes autonomes et la surveillance intérieure. Un juge a bloqué la mesure en mars. Depuis, la NSA utilise Mythos au moins depuis avril, et la CISA, qui n'avait pas eu accès à l'outil au premier tour, entre à son tour dans la boucle. Le récent redémarrage de la version publique, après une pause mondiale imposée par la Maison-Blanche pour restreindre l'accès des utilisateurs étrangers, complète le tableau. Anthropic n'a pas commenté; la CISA a indiqué qu'elle vérifierait; la NSA et la Maison-Blanche n'avaient pas répondu à Reuters.
Ce que le reporting ne donne pas est probablement plus utile que ce qu'il donne. On ignore le taux de faux positifs, la part de failles réellement critiques, la gouvernance humaine qui encadre le tri des résultats avant remédiation, et si les correctifs seront répercutés vers les éditeurs tiers dont le code est présent dans les systèmes fédéraux. Le pari sous-jacent est classique côté sécurité offensive: accepter une dépendance forte à un fournisseur unique pour gagner en cadence de découverte.
Si la mécanique tient, le gagnant immédiat est Anthropic, qui consolide un statut de fournisseur de confiance côté fédéral. Le gagnant plus discret est la CISA, qui rattrape son retard opérationnel sur la NSA et pourrait, in fine, faire profiter d'un meilleur audit une longue chaîne d'éditeurs dont le code se retrouve tourné, aujourd'hui gratuitement, contre Mythos.
Article original publié par reuters.com
Lire l'article original →Titre original : CISA déploie Mythos d'Anthropic pour auditer le code des agences fédérales, « un grand nombre » de vulnérabilités déjà détectées