Derrière les notes de mise à jour en apparence banales de Firefox 150 se cache un véritable séisme pour la cybersécurité. En s’alliant avec la nouvelle IA d’Anthropic, Mozilla a débusqué et corrigé près de 300 failles d’un coup. Une avancée historique qui pourrait bien signer la fin des attaques « zero-day » et définitivement inverser le rapport de force entre pirates et défenseurs.

Il y a une révolution en cours chez Firefox, et cela ne transparaît pas dans les plus récentes notes de mise à jour du navigateur web, qui vient de passer à la version 150 le 21 avril 2026.

En effet, ce patch note traite de tout autre chose : on y parle de vue scindée, de partage des onglets ou encore d’une amélioration pour l’éditeur PDF intégré. À cela s’ajoute une ribambelle de changements plus secondaires ou techniques. Des modifications et des nouveautés certainement bienvenues et utiles, mais qui font pâle figure avec le bouleversement qui vient.

Mozilla dégage la majorité de ses revenus de contrats avec des moteurs de recherche pour son navigateur Firefox. Mais elle veut se diversifier. // Source : Mozilla
Mozilla a été mis à jour, mais le vrai changement est plus discret. // Source : Mozilla

Pour comprendre ce dont on parle, c’est un billet de blog spécifique qu’il faut aller lire. Mis justement en ligne le même jour que le Firefox 150, il révèle le rôle décisif que joue maintenant l’intelligence artificielle dans la traque des vulnérabilités. Et on ne parle pas de quelques failles repérées, mais bien de centaines de brèches.

271 vulnérabilités : le grand nettoyage de l’IA

Dans un billet au titre quelque peu provocateur (les jours des failles zero-day sont comptés), Bobby Holley, membre de l’équipe de développement de Firefox, lève le voile sur une collaboration inédite avec Anthropic, la société derrière le chatbot Claude. Il apparaît que son plus récent modèle d’IA, le très commenté Mythos, a été décisif.

Les chiffres avancés sont vertigineux : il y avait déjà eu une coopération avec un précédent modèle, Opus 4.6, qui avait déjà permis de traiter 22 brèches dans Firefox 148. À présent, grâce à un accès en avant-première de Mythos, la vérification du code a servi à identifier 271 vulnérabilités, qui ont toutes été traitées dans Firefox 150. C’est douze fois plus.

Claude Mythos // Source : Montage Numerama
Claude Mythos. // Source : Montage Numerama

C’est cette efficacité inouïe qui fait dire à Bobby Holley que les brèches zero-day seront un jour de l’histoire ancienne. Cette expression désigne les vulnérabilités informatiques qui sont exploitées par des pirates avant même que l’éditeur du logiciel n’en ait connaissance (puisque celui-ci a eu « zéro jour » pour préparer un correctif permettant de parer la menace).

Par contraste, l’ampleur de ces trouvailles a de quoi légitimement inquiéter, car au cœur de l’expérimentation se trouve un logiciel qui bénéficie pourtant d’une bonne maintenance, notamment avec des contributions externes. Or, malgré une communauté active de développeurs, voilà que presque 300 failles, certes à la gravité variable, viennent d’être dénichées d’un coup.

Rééquilibrer un combat asymétrique

D’ailleurs, en interne aussi, l’affaire a fait vaciller les équipes. « Pour une cible bien protégée, un seul de ces bugs aurait suffi à déclencher l’alerte rouge en 2025 ; alors, quand ils se multiplient ainsi, on en vient à se demander s’il est encore possible de suivre le rythme », est-il élaboré dans le compte-rendu de Mozilla.

Cependant, la faculté d’une IA comme Mythos est aussi perçue comme une opportunité, en l’employant correctement. Et c’est peut-être une occasion, à défaut de renverser la vapeur face aux cyberattaques, de faire davantage jeu égal dans un combat cruellement asymétrique, et qui penche généralement en faveur de l’assaillant.

« Notre expérience est porteuse d’espoir pour les équipes qui parviennent à surmonter le vertige et à se mettre au travail »

Bobby Holley

« Notre expérience est porteuse d’espoir pour les équipes qui parviennent à surmonter le vertige et à se mettre au travail. […] Nous avons franchi un cap et entrevoyons un avenir bien meilleur que celui où nous nous contenterions de suivre le mouvement. Les défenseurs ont enfin une chance de gagner, et de manière décisive », avance ainsi Bobby Holley.

D’aucuns pourraient alors se demander pourquoi ne libère-t-on pas tout de suite Claude Mythos dans la nature. C’est parce que les capacités notables de cette IA font couler beaucoup d’encre. Elle serait trop révolutionnaire, y compris pour ses créateurs. D’où une ouverture extrêmement limitée à une poignée d’organisations triées sur le volet.

La lumière au bout du tunnel

Mais si tout cela peut sembler « terrifiant dans l’immédiat », Mozilla veut voir plutôt le verre à moitié plein. Il y a même de « la lumière au bout du tunnel » pour la cybersécurité.

Jusqu’à présent, les pirates informatiques tiraient profit de l’incapacité des logiciels classiques à déceler des failles complexes, n’hésitant pas à investir des mois d’efforts humains pour trouver la brèche décisive. En automatisant cette expertise et en rendant la traque des bugs peu coûteuse, l’IA renverse l’avantage historique des attaquants.

Par ailleurs, l’équipe se veut rassurante face aux fantasmes entourant ces nouveaux modèles : l’IA ne découvre pas de vulnérabilités « extraterrestres » hors de la compréhension humaine. Toutes les 271 failles auraient pu être trouvées par un expert de haut niveau — seulement, lui n’a pas la capacité d’abattre un tel travail à une échelle industrielle.

Un logiciel restant une création humaine logique, son niveau de complexité a des limites, tout comme ses erreurs. De quoi permettre à Bobby Holley de conclure sur une victoire imminente : « Les défauts sont en nombre limité, et nous entrons dans un monde où nous pouvons enfin tous les trouver. »

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !