S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

Il mange des bugs au petit déjeuner

Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

C’est un des premiers résultats concrets de Mythos : Mozilla a annoncé que la version 150 de Firefox contient des correctifs pour la bagatelle de 271 vulnérabilités repérées par le nouveau modèle d’Anthropic. Malgré la montagne de travail que cela représente, « les défenseurs ont finalement une chance de l’emporter », affirme Mozilla.

La fondation Mozilla fait partie de la quarantaine d’entreprises et d’organisations qui ont accès à l’aperçu de Claude Mythos, le modèle IA le plus ambitieux d’Anthropic. Un modèle distribué via le projet Glasswing, conçu d’abord pour repérer les failles de sécurité dans les logiciels. Les premiers résultats concernant Firefox sont pour le moins significatifs.

L’intégration d’IA dans Firefox a souvent été mal perçue par de nombreux utilisateurs, à tel point que le navigateur a intégré un bouton pour désactiver d’un coup toutes ces fonctions. Du point de vue de la sécurité cependant, les développeurs n’ont pas hésité à faire appel à Anthropic. Mozilla s’était ainsi servi de Claude Opus 4.6 pour détecter les vulnérabilités dans le navigateur, avec comme résultat 22 failles corrigées dans Firefox 148. Mais avec Mythos, on passe à une toute autre échelle : Firefox 150, qui est livré cette semaine, corrige rien moins que 271 failles, identifiées durant l’évolution initiale du modèle. De quoi provoquer un « vertige », écrit Bobby Holley, le directeur technique de Firefox.

L’ère des failles « zero-day » est-elle révolue ?

« Pour une cible bien sécurisée, une seule vulnérabilité de ce type aurait suffi à déclencher une alerte maximale en 2025 », poursuit-il. « Alors en voir surgir autant à la fois laisse planer un doute : est-il seulement encore possible de suivre le rythme ? ». Le dirigeant préfère voir le verre à moitié plein, il explique qu’il a fallu changer les priorités et se focaliser sur les correctifs. Il admet aussi que le travail n’est pas terminé, et il affirme qu’avec Mythos, les défenseurs ont maintenant « une chance de l’emporter, de manière décisive ».

« Les attaquants bénéficient d’un avantage asymétrique, puisqu’il leur suffit d’exploiter une seule brèche», alors que les défenseurs doivent couvrir une surface d’attaque qui n’est certes pas infinie, mais suffisamment étendue pour laisser des trous dans la raquette. Les développeurs de Firefox ne peuvent pas se permettre de « réécrire des décennies de code en C++ ». 

D’où le recours à Mythos, qui est capable de couvrir « l’ensemble du champ des bugs susceptibles d’introduire des vulnérabilités », poursuit Bobby Holley. Pendant des années, Firefox (et d’autres organisations) s’est reposé sur une combinaison de méthodes automatisées et d’examens manuels en interne comme en externe pour détecter et boucher les failles. Mais voilà, ces outils sont aussi à disposition des attaquants. « Si vous étiez un acteur malveillant prêt à investir des millions de dollars pour découvrir une faille, cela restait toujours possible », indique-t-il, « notre objectif était de faire grimper ce coût au maximum ».

À ce stade, Firefox n’a pu identifier « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent repérer et que Mythos ne saurait détecter. Un satisfecit donc, mais Bobby Holley ne croit pas que les futurs modèles IA trouveront des failles qui échapperaient à notre compréhension actuelle. Firefox est conçu de telle manière que les humains peuvent vérifier la validité du code, même s’il est complexe. Pouvoir ne veut cependant pas dire que c’est le cas…

Il reconnait tout de même les risques que porte l’IA dans la compréhension humaine du code. Très enthousiaste, il en conclut que « nous entrons dans un monde où il devient enfin possible d’identifier » toutes les failles.

Lors de la présentation du projet Glasswing, Anthropic avait affirmé que le modèle avait déjà détecté « des milliers de vulnérabilités critiques », dans tous les systèmes d’exploitation et navigateurs web. Cette mouture de Mythos n’a pas vocation à être proposée au grand public, mais l’objectif reste de déployer des modèles « de classe Mythos » à grande échelle.

Quelques nouveautés pour Firefox 150

Outre une palanquée de correctifs, cette version 150 de Firefox apporte aussi son lot de nouvelles fonctions et d’améliorations. On y trouvera ainsi la possibilité d’ouvrir un lien dans une fenêtre scindée (Split View) d’un clic droit sur le lien en question. Il est aussi possible d’effectuer une recherche parmi les onglets ouverts lors de la création d’une fenêtre Split View, et d’inverser leur position avec une nouvelle option dans le menu contextuel.

Autre nouveauté intéressante : le partage de plusieurs onglets en une seule étape. Après les avoir sélectionnés, le menu contextuel du clic droit proposera une option de partage pour coller les liens des onglets dans d’autres apps. Relevons aussi le coup d’accélérateur pour l’éditeur PDF intégré, qui permet de réorganiser, copier, coller, supprimer et exporter des pages dans un document PDF. 

Bonne nouvelle pour les utilisateurs Windows : les web apps Firefox sont désormais disponibles s’ils ont installé le navigateur depuis le Microsoft Store. Le VPN intégré est désormais accessible depuis le Canada, en plus de la France et d’une poignée d’autres pays.

Commentaires (38)

votre avatar
On s'approche du paradis...

S'il était possible de décharger en masse les onglets de la mémoire (sélection multiple + click droit + décharger de la mémoire) on atteindrait le nirvana !
votre avatar
De mon côté j'utilise le plugin Sidebery pour avoir des onglets à la verticale et en arborescence, et il permet de faire ce genre de choses... :-)
Mais je conçois qu'il n'y a pas tout le monde qui veut avoir un affichage de la sorte, surtout si c'est pour n'utiliser que cette fonctionnalité :-p
votre avatar
Avec cette extension c'est possible depuis de nombreuses années:
https://addons.mozilla.org/fr/firefox/addon/auto-tab-discard/
:tchintchin:
votre avatar
C'est possible sur mon Firefox 150. Également en faisant "Sélectionner tous les onglets" clic droit, décharger.
votre avatar
Gageons que pour le coup, même les anti-IA, n'y trouveront pour une fois, rien à y redire, et se montreront un peu plus pragmatiques selon les cas d'usage. 🙂
votre avatar
On peut effectivement y avoir à redire, mais, il serait interressant de calculer l'empreinte energetique cumulées, y compris alimentation chauffage etc des developpeurs s'il avait été necessaire de faire le travail à la main.
Néanmoins, gardons à l'esprit aussi que nous perdons de notre indépendances et aussi un peu de nos compétences à faire ce travail, puisque n'étant plus fait par des humains, il ne génèrent plus d’expérience.
L'épreuve des années à venir va être de trouver l'équilibre.
votre avatar
En fait, il faudrait surtout que l'on puisse comparer Mythos avec un corpus de référence pour réellement savoir si c'est de la com' ou une réalité.

Pour le moment, on a que les annonces d'Antrophic (donc une boite qui doit vendre son produit car elle a besoin de faire entrer du cash).
On ignore le degré de sévérités des failles, sur quelle partie du code (moteur, IHM, parseur...), leur nature, leur potentiel d'exploitation réel, leur localité... Bref on ne sait rien d'utile entre les annonces creuses d'Anthropic et le bullshit d'un LLM de Mozilla.
votre avatar
Je retrouve pas le lien mais j'ai déjà vu passer un article qui disséquait les 271 vulnérabilités évoqués et une fois le tri effectué il ne restait plus grand chose de sérieux même si c'est quelques progrès toujours bons à prendre.

En fait le souci c'est le sensationnalisme qui est fait autour de Mythos.
Des outils de recherche de vulnérabilité il en existe depuis longtemps et ça n'a pas attendu l'IA pour donner des résultat.
Puis comme évoqué dans d'autres commentaires si on met en rapport les moyens déployés avec le résultat ce n'est peut être pas si flatteur que ça (mais en tant qu'utilisateur pour le moment on peut en bénéficier au rabais donc pour quoi s'en passer une fois toute considération morale mise de coté).
Sinon en cherchant l'article concernant firefox je suis retombé sur celui ci qui relativise aussi les progrès de Mythos https://blog.vidocsecurity.com/blog/we-reproduced-anthropics-mythos-findings-with-public-models (tldr: une évolution très loin de la révolution vendu)
votre avatar
Pour le moment, on a que les annonces d'Antrophic
Si on exclue celles de tout les projets où des failles ont été rapportées. Ainsi que toutes les entreprises (dont des concurrents) prêtes à payer des millions pour y avoir accès genre Apple, Google, Amazon, Microsoft.
votre avatar
Cela ne veut rien dire. En fait il faut savoir faire la part des choses.

La communication d'Anthropic, mais comme souvent, est incomplète. Il y a beaucoup d'informations qu'ils ne communiquent pas alors qu'ils le pourraient. C'est globalement un reproche qu'on fait beaucoup d'universitaires et experts en sécurité qui n'y ont pas accès : beaucoup d'éléments qui permettraient de savoir les capacités réelles du modèle sont cachées sans que cela ne soit nécessaire.

Ensuite, oui Google, etc. ont accès au modèle, ont corrigé des failles et tout rapportés par Anthropic. Je pense que personne ne remettait en cause la capacité de ces modèles d'identifier des failles, certains l'ont fait d'ailleurs avec des modèles précédents. Mais cela ne veut pas dire que c'est parfait ou que la communication d'Anthropic colle avec la réalité.

On ignore le contrat signé entre Anthropic et ces acteurs pour l'accès, où il n'est pas rare d'avoir des mentions du genre "vous ne devez pas en parler au public", etc. sous peine notamment de ne plus y avoir accès à ce modèle comme aux suivants. Et ces acteurs ont tout intérêt à payer et voir les failles rapportées par l'outil pour améliorer leurs produits sans spécialement avoir besoin de dire en même temps "Anthropic a oublié de dire ça ça et ça ce qui relativise leur communication".

Bref, un peu de nuance, Mythos n'est pas un modèle bidon qui ne peut rien faire, mais pas impossible qu'Anthropic enjolive un peu pour différentes raisons les capacités de leur produit ce qui est classique de toute façon, même dans les entreprises non IA.
votre avatar
Presque... Claude Mythos n'est pas à mettre dans toutes les mains
votre avatar
Certains arguments des réfractaires à l'IA n'ont pas été changés avec cette actu : consommation d'électricité, usage de l'eau, emprise du foncier, monopole de quelques éditeurs étazuniens à tendance techno-fascisme, décharge de responsabilité sur les résultats de l'IA, effacement de la nuance, pillage des oeuvres sans le droit, respect des données personnelles, ...

La vie c'est pas tout noir ou tout blanc.
votre avatar
Eh bien si, pour ma part j'y trouve à redire quand même (désolé !), car ce modèle n'a clairement pas été conçu juste pour « aider » Mozilla, mais bien dans des objectifs bien plus lucratifs, peu importent les conséquences.

Je trouve que « regardez, Mythos aide Mozilla », c'est du même niveau que lorsqu'on nous a dit que la 5G était uniquement pour notre bien car grâce à elle, les meilleurs chirurgiens pourraient opérer n'importe qui dans le monde tout en restant vissés sur la lunette de leurs toilettes.
Pour moi ça ressemble à une sorte de « greenwashing » d'IA pour rendre cette technologie acceptable et remettre au second plan les impacts sociétaux et environnementaux, ainsi que les risques démocratiques à laisser des entreprises privées à but (très) lucratif contrôler qui a accès à des outils si puissants, ainsi que sécuriser l'accès pour éviter que des pirates ne l'utilisent en douce.

Je vais en profiter vu que j'utilise Firefox, mais on cherche tout de même à « acheter » notre bienveillance à l'égard d'outils qui devraient nous interroger bien davantage.
votre avatar
Comment douter de Claude Mythos...
votre avatar
Ah mais la réorganisation des PDF c'est un game changer.
votre avatar
Alors qu'il existe déjà tout plein d'outils pour ça (offline et online) je ne vois pas du tout l'intérêt d'ajouter ce genre de fonctionnalités à un navigateur web perso.
votre avatar
Moi si.
Je dois recevoir/envoyer/remplir beaucoup de PDF via mon navigateur (webmails, liens et autres), et les fonctions d'éditions (même basiques) me simplifient pas mal la tâche. Ça évite justement de devoir passer par un outil tiers, ça fait gagner du temps, c'est gratuit, et ça se passe sur ma machine (ça n'envoie pas des documents potentiellement sensibles à un serveur géré par on-ne-sait-qui).
votre avatar
Tout à fait d'accord.
Et ça simplifie la vie aux utilisateurs et fait des programmes de moins à installer sur la machine.
votre avatar
271 failles :oooo

Dans 1 mois :

"Le patch Tuesday de mai corrige 7854 vulnérabilités repérées par Claude Mythos"
votre avatar
Imagine si Mythos avait le code source de windows ! :-D
votre avatar
unsigned long long fail_counter;
votre avatar
Ce qui est encore plus difficile à imaginer, c'est que quelqu'un puisse disposer d'un crédit de tokens suffisant pour remonter toutes les failles.
votre avatar
BSOD ?
votre avatar
En tout cas, il a accès à celui de Linux.
votre avatar
Ou plus exactement :
« Le patch Tuesday de mai corrige 7854 vulnérabilités repérées par Claude Mythos, et en introduit 9427 nouvelles créées par Copilot »
votre avatar
« nous entrons dans un monde où il devient enfin possible d’identifier » toutes les failles
Euphorie ? Arrogance ?
À ce stade, Firefox n’a pu identifier « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent repérer et que Mythos ne saurait détecter. Un satisfecit donc, mais Bobby Holley ne croit pas que les futurs modèles IA trouveront des failles qui échapperaient à notre compréhension actuelle.
Quel est ce concept surréaliste de "faille échappant à la compréhension" ?
Si on te présente une méthode de reproduction d'un problème, tu vas bien pouvoir identifier les mécanismes appelés avec les arguments et ainsi tracer toute la chaine.
L'incapacité de faire cela n'a rien à voir avec l'humain, mais plutôt avec les accès et les compétences de chacun impliqué.

Décidément, continuer à qualifier ces machins "intelligence" nous rend stupides et passifs face à des "oracles".
Firefox est conçu de telle manière que les humains peuvent vérifier la validité du code, même s’il est complexe. Pouvoir ne veut cependant pas dire que c’est le cas…
Pour qu'un code soit vérifiable, il faut qu'il ait été conçu/organisé pour être lisible & compréhensible : quelle révélation !

C'est amusant, car c'est d'ailleurs tout le problème avec le fonctionnement des réseaux de neurones…
votre avatar
Un peu de parano : Si Mythos est capable de détecter des failles que les humains ne voient pas, est-il possible qu'Anthropic introduise des portes dérobées invisibles dans les correctifs proposés ?
votre avatar
Si Claude Code est utilisé, en théorie tout est possible. Sinon, ce serait difficile, Mythos se limitant à trouver les failles.
votre avatar
Merci de la précision, je croyais que Mythos proposait également les correctifs.
votre avatar
Je suis perplexe... un outil pareil est susceptible de trouver et de faire colmater un grand nombre de failles o-day que des agences gouvernementales ont parfois payé plusieurs millions de dollars.
Je ne vois pas par quel mystère ils vont laisser faire...
votre avatar
A ton avir pourquoi ke modèle n'est pas sortir en publique ? tu pense vraiment que c'est par altruisme d'antropique ? Le gouvernement américain à du mettre son véto pour le garder bien à lui.
votre avatar
Je croyais que le gouvernement américain avait mis sur liste noire Anthropic. Ca a été révoqué ?
votre avatar
votre avatar
Jusqu'ici, de ce que j'ai pu en voir, le recours d'Anthropic n'a rien donné.

Par contre, j'ai cru voir passer un autre article disant que les services de renseignement US se serviraient de Mythos malgré le ban du Pentagone.
votre avatar
273 failles a détecter c'est inhumains mais 273 failles corrigées à vérifier c'est possible et je pense que les équipes de mozilla les ont vérifiés avant de les commiter
votre avatar
AU fait, quelqu'un a audité Mythos pour savoir quelles failles il ne détecte pas ?

L'impression qu'on oublie que c'est un outil, US de surcroît. Savoir quelles failles ne sont pas trouvées par Mythos est un sacré joker dans la manche de la NSA.
votre avatar
« Firefox corrige »

Qui a fait les corrections, les dévs de la MoFo ou l'IA ?

C'est 271 corrections sur 271 vulnéabilités détectées, ou sur beaucoup plus ?
votre avatar
On dirait plus une quarantaine de correction sur 271 détection. En tout cas la liste des vulnérabilités corrigées dans la version 150 ne mentionne que 41 CVE: https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/