Source: The Conversation – France in French (3) – By Thomas Fraise, Postdoctoral research fellow, University of Copenhagen; Sciences Po
L’apparition de l’IA Mythos, présentée comme capable de détecter rapidement des failles informatiques majeures, montre que les capacités offensives dans le cyberespace progressent très vite. Cette évolution pourrait rendre les systèmes nucléaires plus vulnérables et augmenter le risque d’erreurs, de sabotage ou d’escalade accidentelle.
En 1983, le film WarGames imaginait un adolescent qui, entré par accident dans un système informatique du Pentagone, déclenchait un programme de simulation, lequel était interprété comme un prélude à une guerre nucléaire. Le film avait tant marqué Ronald Reagan qu’il avait interrogé ses conseillers sur la possibilité d’une telle intrusion dans les systèmes américains les plus sensibles. Une semaine plus tard, la réponse était venue : « Monsieur le Président, le problème est bien plus grave que vous ne le pensez. »
Les politiques autour de l’armement nucléaire reposent sur une série de paris, souvent lointains, sur l’avenir de la dissuasion nucléaire. D’abord, les pays dotés de l’arme nucléaire considèrent que la peur de leur riposte suffira toujours à empêcher un adversaire de les attaquer en premier, et qu’ils disposeront toujours de l’expertise et de la chance nécessaires pour prévenir des explosions accidentelles. Ils estiment donc que la possession de l’arme nucléaire sera pour eux, au cours des décennies à venir, source de sécurité et non d’insécurité.
Or, comme nous le montrons avec mes collègues Sterre van Buuren et Benoît Pelopidas, il existe plusieurs scénarios futurs plausibles dans lesquels posséder des armes nucléaires engendrera plus de coûts réels que de bénéfices potentiels dans un monde où la température aura augmenté de plusieurs degrés. Maintenir un arsenal crédible et sûr exigera de faire des choix budgétaires, au détriment d’autres dépenses rendues urgentes par la crise climatique. L’univers des risques existentiels pour un Etat, qui pourrait justifier l’usage de l’arme nucléaire, peut aussi s’élargir. Des experts s’inquiètent que des risques de pénurie d’eau au Pakistan et en Inde ne deviennent un terrain fertile pour un conflit menant à une escalade nucléaire.L’univers des risques existentiels pour un État, qui pourrait justifier l’usage de l’arme nucléaire, peut aussi s’élargir. Des experts s’inquiètent que des risques de pénurie d’eau au Pakistan et en Inde ne deviennent un terrain fertile pour un conflit menant à une escalade nucléaire.
Mais il existe un autre pari, bien plus implicite : celui que les arsenaux nucléaires, qui sont des systèmes technologiques complexes et hautement digitalisées, ne possèdent aucune vulnérabilité cyber qui pourrait être exploitée par un acteur souhaitant empêcher son fonctionnement normal.
La récente percée de l’intelligence artificielle Mythos révèle à quel point les conditions de ce pari peuvent changer sur le long terme.
Mythos et l’avenir de la cybersécurité
Le 7 avril 2026, la compagnie Anthropic – qui commercialise la série de grands modèles de langages (LLM) Claude – annonçait la création de son nouveau modèle d’intelligence artificielle (IA) : « Mythos ». Ce modèle, qui n’a pas été mis sur le marché mais rendu disponible à un groupe de travail restreint composé d’une douzaine des principaux géants américains de la technologie (Google, Microsoft, Apple, NVidia, Amazon Web Services, etc.), obtiendrait un taux de succès sans précédent en matière de détection des failles dans les systèmes informatiques.
Mythos aurait ainsi été capable de détecter, avec un impressionnant taux de succès, des failles « zero-day » dans différents navigateurs informatiques, logiciels ou systèmes d’exploitation. Une faille « zero-day » est une faille de sécurité critique dans un système d’information, contre laquelle aucune protection n’existe pour l’instant, rendant ainsi possible une attaque laissant un délai de « zéro jour » pour réagir. Selon Anthropic, Mythos aurait réussi à développer en un temps record (sans doute moins d’une journée) des méthodes permettant d’exploiter ces failles avec un taux de succès de 72,4 %, largement supérieur aux autres modèles existants.
Si ces informations proviennent de la compagnie elle-même – qui a tout intérêt à exagérer les résultats –, certaines preuves publiques ont toutefois été apportées. Sylvestre Ledru, le directeur de l’ingénierie chez Mozilla responsable du navigateur Firefox, a déclaré que Mythos avait permis de découvrir un nombre « proprement hallucinant » de vulnérabilités dans leurs logiciels. Une faille de sécurité vieille de près de vingt-sept ans, ayant survécu à un grand nombre d’audits, a par exemple été découverte dans un système d’exploitation libre très utilisé par des services de sécurité informatique, OpenDSB.
Mythos révèle un problème de fond : l’augmentation des capacités offensives – non seulement des États, mais aussi d’acteurs privés comme des cybercriminels – dans le cyberspace risque d’être accélérée par le développement de l’IA, et une incertitude émerge quant à la capacité des acteurs défensifs à réagir suffisamment vite pour corriger les vulnérabilités existantes.
Même dans le cas où Mythos ne serait pas à la hauteur des performances annoncées, le développement des LLM depuis le début des années 2020 a montré à quel point leurs performances s’améliorent vite. Nous faisons donc face à une accélération du développement des capacités offensives et de la diffusion de celles-ci à un nombre d’acteurs plus large. Cela signifie une potentielle tendance à la hausse de la probabilité de succès d’une cyberattaque, ainsi qu’une augmentation du nombre absolu de ces attaques.
La vulnérabilité des arsenaux nucléaires
Pour comprendre la vulnérabilité des armes nucléaires aux cyberattaques, il faut avoir à l’esprit le fait que par « arsenal nucléaire », on entend bien plus qu’un stock de têtes nucléaires. Le fonctionnement normal des arsenaux nucléaires modernes repose sur une large configuration de technologies : têtes nucléaires, missiles permettant de transporter ces armes, technologies de communication (permettant d’assurer que l’ordre soit transmis depuis le président jusqu’à l’opérateur chargé d’actionner ces armes), ainsi qu’un ensemble de technologies d’alerte avancée servant à surveiller le ciel à la recherche de potentiels signaux d’une attaque nucléaire adverse. Ces éléments doivent être capables de communiquer entre eux pour assurer le contrôle de ces armes.
Et ils sont plus nombreux qu’on pourrait le penser. Comme le note Herbert Lin, chercheur à l’Université de Stanford et auteur d’une étude sur les cybermenaces contre les armes nucléaires, la métaphore du « bouton nucléaire » est simplifiée : une fois que le président appuie dessus, un ensemble de « cyber-boutons » doivent être pressés pour déclencher les opérations nucléaires, et les contrôler – autant d’échelons où des attaques informatiques pourraient s’insérer pour empêcher, par exemple, l’arrivée de l’information pertinente.
Le président pourrait ne pas recevoir suffisamment d’informations – ou ne pas en recevoir du tout – pour déterminer qu’une attaque est en cours. Ou alors, il pourrait ne pas être en mesure de communiquer à ses forces sous-marines l’ordre de tir. Pis, on pourrait voir se réaliser le scénario catastrophe imaginé depuis les années 1950 : un faux ordre de tir pourrait être communiqué aux opérateurs de missiles.
Les scénarios n’ont pas besoin d’être aussi radicaux : l’ordre pourrait être communiqué, mais avec un retard, ou ne pas être communiqué à l’ensemble des forces, menant à une riposte moindre que celle désirée. Ladite riposte pourrait être bloquée : en 2010, un centre de commandement américain a perdu la communication avec une cinquantaine de missiles nucléaires pendant près d’une heure. Un adversaire pourrait savoir tirer profit de telles failles.
Alternativement, une cyberattaque d’ampleur menée par des acteurs non étatiques pourrait créer l’impression qu’un adversaire cherche à s’en prendre à notre arsenal nucléaire, créant un risque d’escalade par « inadvertance ».
On peut aussi imaginer des actions cyber contre les armes elles-mêmes, le hardware plutôt que le software de l’arsenal. Bien sûr, les acteurs de la sécurité nucléaire ne se contentent pas d’attendre qu’une attaque survienne sur l’un de ces systèmes. Ils développent et testent leurs capacités défensives de manière continue. Le problème est que la complexité des systèmes existants ne permet pas d’affirmer avec certitude qu’il n’existe « aucune vulnérabilité ».
C’est James Gosler, ancien responsable de la sécurité informatique des systèmes nucléaires américains au sein du laboratoire Sandia, qui l’affirme : à partir des années 1980, du fait de la complexification exponentielle des composants internes aux armes nucléaires, « vous ne pouvez désormais plus affirmer que l’ensemble des microcontrôleurs (destinés à assurer le fonctionnement du mécanisme déclenchant l’explosion) sont invulnérables ».
Cela ne signifie pas non plus que des vulnérabilités existent nécessairement. Mais cela veut dire qu’aucun acteur n’est en mesure de savoir s’il y en a. Alors, faut-il craindre que l’arsenal nucléaire français, ou bien n’importe quel autre arsenal ciblant la France, soit « hacké » dans le futur ?
En fait, on ne sait pas. Des scénarios de ce type sont de l’ordre du possible : il n’existe pas de large système d’information complexe dont on puisse garantir, avec une totale certitude, la fiabilité totale. L’évolution des outils permettant des cyberattaques, et leur potentielle diffusion auprès d’un large nombre d’acteurs étatiques et non étatiques, rend ce type de scénario futur potentiellement plus probable et, dans tous les cas, plausible.
Un nouveau pari sur le futur
Mythos met en lumière une nouvelle modalité du pari nucléaire, née du développement des nouvelles technologies et de leur intégration aux arsenaux nucléaires.
Nous parions d’abord sur l’absence de vulnérabilité au sein de ces systèmes – alors même qu’il est impossible de mesurer cette probabilité avec certitude. Elle évolue avec le temps, au rythme des systèmes mis à jour, remplacés, connectés à d’autres. Si une vulnérabilité existe malgré tout, nous parions ensuite sur le fait que, en temps voulu, l’évolution des capacités offensives dans le cyberespace sera constamment égalée, et toujours à temps, par l’évolution des capacités défensives – y compris à l’ère de l’intelligence artificielle. Là encore, cette probabilité est elle aussi indéterminable, puisque le développement de capacités défensives est réactif : il se fait en fonction de la connaissance que l’on a de la nature des capacités offensives et des vulnérabilités existantes, qui sont indéterminables. On fait donc le pari que nos défenses, et celle des autres États dotés d’armes nucléaires, suffiront.
Nous faisons donc le pari que nos défenses contre les cyberattaques, et celle des autres États dotés d’armes nucléaires, seront suffisantes. Dans le cas contraire, alors on fait le pari que la chance sera de notre côté et que les vulnérabilités existantes ne seront pas détectées – comme celle qui existait depuis 27 ans dans le code d’OpenDSB. Il s’agit d’un pari sur la chance puisque dans ce scénario, c’est l’incapacité ou l’absence de volonté adverse, sur laquelle nous n’avons aucun contrôle, à développer des capacités efficaces qui nous sauve.
La capacité des pratiques existantes de contrôle à remplir leur tâche est rendue plus incertaine par l’arrivée de grands modèles d’IA capables de détecter des vulnérabilités et concevoir des cyberattaques de façon massive et automatisée. Faire le choix d’une politique de sécurité fondée sur les armes nucléaires revient à parier sur le fait que, dans le futur comme par le passé, la chance restera toujours de notre côté.
Ce travail a été financé par le Conseil Européen de la Recherche (ERC) au titre du programme-cadre de l’Union européenne pour la recherche et l’innovation Horizon Recherche (projet RITUAL DETERRENCE, convention de subvention n°101043468).
– ref. Hacker la bombe ? Ce que l’IA Mythos révèle du pari de la dissuasion nucléaire – https://theconversation.com/hacker-la-bombe-ce-que-lia-mythos-revele-du-pari-de-la-dissuasion-nucleaire-281557