Claude Mythos découvre CVE-2026-5194 parmi plus de 10 000 failles

Claude Mythos découvre CVE-2026-5194 parmi plus de 10 000 failles

Le projet Glasswing d'Anthropic a produit un résultat frappant : son modèle d'IA Claude Mythos a identifié plus de 10 000 vulnérabilités de gravité élevée ou critique dans les principales infrastructures logicielles en un seul mois. Parmi ces découvertes figure CVE-2026-5194, une faille critique dans la bibliothèque cryptographique wolfSSL, très utilisée, qui pourrait permettre à des attaquants de falsifier des certificats et d'usurper l'identité de services légitimes. Pour toute personne utilisant un VPN ou une application chiffrée, cette découverte isolée illustre un point important : les vulnérabilités cryptographiques découvertes par l'IA dans les VPN ne relèvent plus de la théorie. Elles arrivent plus vite que la plupart des cycles de correctifs ne peuvent suivre.

Ce que CVE-2026-5194 dans wolfSSL signifie pour les utilisateurs de VPN et de services chiffrés

wolfSSL est une bibliothèque TLS et SSL légère utilisée dans les systèmes embarqués, les appareils IoT et, oui, un certain nombre d'implémentations de VPN et d'applications critiques pour la sécurité. Sa faible empreinte la rend attrayante pour les environnements aux ressources limitées, ce qui signifie qu'elle fonctionne souvent dans des endroits où la revue de sécurité est minimale et les cycles de mise à jour sont lents.

La faille identifiée sous le nom CVE-2026-5194 est particulièrement grave car elle cible la validation des certificats, le mécanisme qui confirme qu'un serveur est bien celui qu'il prétend être. Lorsque ce processus peut être subverti, un attaquant peut mener une attaque de type homme-du-milieu : intercepter le trafic chiffré en présentant un certificat falsifié que le client accepte comme légitime. Pour les utilisateurs de VPN, ce n'est pas un inconvénient mineur. Une chaîne de certificats compromise signifie que votre tunnel chiffré pourrait se terminer sur un serveur contrôlé par l'attaquant plutôt que sur votre point d'accès prévu, tout ce que vous envoyez étant visible en clair de l'autre côté.

La gravité est ici aggravée par la nature du déploiement de wolfSSL. Les bibliothèques intégrées dans le micrologiciel ou les appareils réseau anciens reçoivent rarement la même attention que les logiciels grand public. Des correctifs peuvent être publiés mais prendre des mois, voire des années, pour atteindre les appareils en service.

Comment Claude Mythos a trouvé plus de 10 000 failles critiques en un mois

Le projet Glasswing représente l'incursion d'Anthropic dans la recherche de vulnérabilités assistée par l'IA. Le modèle Claude Mythos, conçu pour le raisonnement technique approfondi, a été utilisé pour analyser systématiquement l'infrastructure logicielle à une échelle et une vitesse qu'aucune équipe humaine ne pourrait égaler. Le résultat, plus de 10 000 vulnérabilités de gravité élevée ou critique en 30 jours, n'est pas seulement un grand nombre. Il signale un changement fondamental dans la vitesse à laquelle la surface d'attaque de l'infrastructure Internet peut être cartographiée.

La découverte traditionnelle de vulnérabilités repose sur la revue manuelle de code, les outils de fuzzing et des chercheurs en sécurité qui parcourent les bases de code un composant à la fois. L'analyse assistée par l'IA peut travailler sur plusieurs bases de code simultanément, identifier des erreurs de logique subtiles que les scanners automatiques manquent, et corréler les résultats entre les dépendances. La découverte de wolfSSL en est un bon exemple : les bogues de validation de certificat nécessitent souvent de comprendre des chaînes de logique complexes réparties sur plusieurs fonctions, exactement le type de raisonnement où les grands modèles de langage dotés de capacités de compréhension du code peuvent apporter une valeur ajoutée.

Les implications sont doubles. Si le modèle d'Anthropic peut trouver ces vulnérabilités, les outils d'IA utilisés par des acteurs malveillants le peuvent aussi. La course entre défenseurs et attaquants vient de passer à une vitesse supérieure. Il convient de noter qu'Anthropic elle-même a renforcé les contrôles d'accès à sa plateforme d'IA ; la société a récemment introduit des exigences de vérification d'identité pour certains utilisateurs de Claude, reflétant la tension plus large entre ouverture et sécurité dans le déploiement de l'IA, comme le rapporte le déploiement de la vérification d'identité réelle par Anthropic pour les utilisateurs de Claude.

Pourquoi la sécurité des VPN dépend de bibliothèques cryptographiques exemptes de vulnérabilités

Les VPN sont souvent décrits comme un outil de confidentialité et de sécurité, mais leur garantie de sécurité réelle n'est aussi solide que les bibliothèques cryptographiques qui les sous-tendent. Un client VPN peut implémenter le secret de transmission parfait (perfect forward secrecy), utiliser le chiffrement AES-256 et adopter une politique de non-journalisation, mais si la bibliothèque TLS qui gère la vérification de ses certificats contient une faille falsifiable, tout cela est compromis dès l'étape de la prise de contact.

C'est le problème de dépendance dans la sécurité logicielle. Aucune application n'est une île. Chaque client VPN, chaque application de messagerie chiffrée, chaque serveur HTTPS repose sur des bibliothèques tierces pour les opérations cryptographiques. wolfSSL, OpenSSL, BoringSSL, mbedTLS : chacune d'elles a eu des vulnérabilités importantes dans son histoire. Heartbleed, qui a touché OpenSSL en 2014, reste l'exemple le plus célèbre, mais ce n'était pas un incident isolé.

Les résultats du projet Glasswing suggèrent que le volume de vulnérabilités non découvertes qui sommeillent dans ces bibliothèques fondamentales pourrait être bien plus important que ce que la communauté de la sécurité supposait auparavant. Dix mille failles critiques en un mois d'examen assisté par l'IA indiquent un arriéré de problèmes que les processus de revue manuelle n'ont pas réussi à détecter.

Ce que les utilisateurs et les fournisseurs de VPN devraient faire pendant le déploiement des correctifs

Pour les utilisateurs individuels, l'étape la plus concrète consiste à choisir un fournisseur de VPN qui s'engage publiquement à réaliser des audits de sécurité réguliers par des tiers et qui soit transparent quant aux bibliothèques cryptographiques utilisées par son logiciel et à la rapidité avec laquelle il applique les correctifs. Les fournisseurs qui publient les résultats d'audit, maintiennent une politique claire de divulgation des vulnérabilités et communiquent sur les mises à jour des bibliothèques sont nettement mieux positionnés que ceux qui ne le font pas.

Pour les fournisseurs de VPN et les équipes de sécurité d'entreprise, les priorités immédiates sont simples : auditer votre nomenclature logicielle pour identifier toute dépendance à wolfSSL, surveiller la divulgation de CVE-2026-5194 pour la disponibilité des correctifs, et prioriser le déploiement sur tout composant exposé à Internet ou manipulant des certificats. Si votre produit utilise wolfSSL dans le micrologiciel ou des composants embarqués, ce calendrier de mise à jour doit être accéléré.

Plus largement, les résultats de Claude Mythos sont un signal que la découverte de vulnérabilités assistée par l'IA deviendra une partie intégrante de la boîte à outils de la recherche en sécurité. Les fournisseurs qui n'utilisent pas déjà l'analyse automatisée pour examiner leurs propres bases de code et dépendances seront distancés à la fois par les défenseurs utilisant ces outils et, surtout, par les attaquants qui n'attendent pas.

Ce que cela signifie pour vous

La découverte de CVE-2026-5194 est un rappel concret que les outils de confidentialité sont construits sur des couches de logiciels, et que la couche la plus faible détermine votre sécurité réelle. Une vulnérabilité de falsification de certificat dans une bibliothèque cryptographique n'est pas une menace abstraite : c'est le type de faille qui permet la surveillance et le vol de justificatifs d'identité contre des utilisateurs qui se croient protégés.

L'enseignement pratique est le suivant : demandez à votre fournisseur de VPN quelles bibliothèques il utilise, quand il a réalisé son dernier audit de sécurité par un tiers, et comment il gère les mises à jour critiques des bibliothèques. La transparence autour de ces questions est l'un des signaux les plus fiables de la posture de sécurité réelle d'un fournisseur. Alors que les outils d'IA accélèrent à la fois la découverte et l'exploitation des vulnérabilités, cette transparence compte plus que jamais.