Anthropic a diffusé Claude Mythos Preview auprès d'un petit groupe de partenaires et a informé le gouvernement américain avant le lancement. Ce modèle peut identifier des vulnérabilités jusqu'alors inconnues sur tous les principaux systèmes d'exploitation et navigateurs web, et générer à la demande un code d'exploit fonctionnel. Les divulgations publiques font état de milliers de vulnérabilités zero-day découvertes et d'un taux de réussite en termes de développement d'exploits de 72,4%, notamment des failles restées sous nos yeux pendant des décennies.

La réaction fut tout aussi inhabituelle. Le secrétaire au Trésor américain, Scott Bessent, et le président de la Réserve fédérale, Jerome Powell, ont réuni les CEO des plus grandes banques américaines. Quelques jours plus tard, des informations ont fait surface selon lesquelles un groupe non autorisé avait accédé à Mythos via l'environnement d'un éditeur tiers. Cette fonctionnalité est à présent disponible. Le confinement est incertain.

Il ne s'agit pas d'une hypothèse pour Sophos. Notre équipe X-Ops a récemment laissé un agent IA de génération actuelle déambuler librement sur l'un de nos réseaux internes dans le cadre d'un exercice de pentest. En utilisant des modèles de pointe (de type frontière) antérieurs à Mythos avec des compétences personnalisées développées en interne par notre équipe, l'agent a réduit le délai de reconnaissance Active Directory de trois jours à trois heures et a produit 23 résultats exploitables, notamment des voies d'élévation critiques vers Domain Admin, le tout à partir d'un seul compte non privilégié. Comme l'a écrit Ross McKerchar, RSSI/CISO de Sophos, « Si c'est ce que les modèles actuels peuvent faire, avec une orchestration minutieuse, imaginez ce qui se passera lorsque la prochaine génération d'IA sera pointée vers votre périmètre par un individu qui n'est pas de votre côté ».

L’article complémentaire de Mark Loman, intitulé « L'IA repère les vulnérabilités, mais les exploiter est une autre histoire », explique pourquoi la découverte et l’exploitation sont des problèmes différents, et les raisons architecturales pour lesquelles Sophos Endpoint occupe cette place dans votre pile de sécurité. 

La surface d'attaque a changé du jour au lendemain : Sophos Endpoint a été conçu précisément à cette fin

Les vulnérabilités logicielles ne sont pas nouvelles. La course à l’armement entre chercheurs, éditeurs et adversaires dure depuis l'apparition des logiciels. 

Ce qui est nouveau, c'est la rapidité avec laquelle cette course peut être menée, et par qui. Le rapport Active Adversary 2026 de Sophos (661 cas de réponse aux incidents et MDR traités par X-Ops) a révélé que l'exploitation des vulnérabilités représentait 16% de l'accès initial, avec un temps de séjour médian des attaquants réduit à trois jours.

L'IA n'a pas seulement augmenté le volume d’attaques ; elle a réduit à néant le laps de temps permettant de réagir. Lorsqu'un modèle produit une exploitation fonctionnelle d'une vulnérabilité nouvellement découverte avant que la plupart des organisations n'aient entamé le contrôle des changements, les cycles de correctifs traditionnels deviennent un handicap plutôt qu'une défense.

Trois éléments changent à l'ère de l'IA : la vitesse, l'échelle et l'accès. La découverte et la mise au point d'une arme, qui prenaient des semaines, sont désormais condensées en quelques heures ou minutes. Le même modèle peut être pointé vers des centaines de cibles en parallèle. Des fonctionnalités qui nécessitaient autrefois une expertise approfondie sont désormais accessibles via une interface intuitive.

Par contre certains prérequis, quant à eux, ne changent pas. Pour transformer une vulnérabilité en compromission, un adversaire doit encore corrompre la mémoire d'une manière particulière, rediriger l'exécution, élever ses privilèges, échapper à la surveillance comportementale ou accéder au système d'exploitation via une séquence soigneusement élaborée. Il existe des millions de vulnérabilités, mais les techniques utilisées pour les exploiter ne se comptent que par dizaines. C’est cette asymétrie que Sophos Endpoint a intégrée pour une utilisation du côté défenseur.

Sophos Endpoint : s’attaquer au problème, pas à la signature

Sophos Endpoint adopte une approche différente en matière d’outils basés sur les signatures ou bien uniquement sur le comportement. Au lieu de tenter de reconnaître chaque nouvelle menace après son apparition, il surveille les techniques sous-jacentes qu'un attaquant doit utiliser pour exploiter un exploit.

Cette fonctionnalité trouve son origine dans HitmanPro.Alert, la technologie anti-exploit acquise par Sophos en 2015 et intégrée à l'agent endpoint. Elle repose sur une intuition simple et durable : il existe un ensemble fini de techniques d’exploitation et le fait de les limiter rend l’exploitation d’une vulnérabilité beaucoup plus difficile, que la vulnérabilité sous-jacente soit connue, inconnue ou générée par une IA il y a cinq minutes.

Aujourd'hui, plus de 60 mesures de mitigation propriétaires sont activées par défaut sur chaque processus protégé. Elles s'exécutent en temps réel sur le système endpoint, sans dépendance aux recherches dans le Cloud ni aux mises à jour de signatures, et sans configuration par application pour commencer à protéger votre infrastructure.

Si une toute nouvelle faille zero-day apparaît demain, générée par Mythos ou tout autre modèle futur, la question n'est pas de savoir si Sophos l'a déjà rencontrée. La question est de savoir si l'exploit peut mener à bien son action sans utiliser aucune des techniques que Sophos Endpoint impose. La réponse, dans presque tous les cas réalistes, est non.

À quoi sert la prévention contre les exploits ?

Sophos Endpoint couvre plus de 60 mesures de mitigation distinctes à chaque étape d'une chaîne d'exploitation. Passons en revue une brève description de ces fonctionnalités, et n'oubliez pas qu’elles ne représentent qu’un sous-ensemble des capacités globales proposées :

Mitigations contre la corruption de mémoire

La plupart des exploits modernes, notamment ceux qu'un modèle comme Mythos générerait contre un navigateur ou un système d'exploitation, reposent sur la corruption de la mémoire d'une manière spécifique. Sophos Endpoint assure une protection contre le pivotement de pile (stack pivoting), la pulvérisation de tas (heap spraying), les chaînes ROP (Return-Oriented Programming) et les techniques similaires qu'un exploit doit utiliser pour exécuter du code. La vulnérabilité peut être une faille que personne n'a jamais nommée : dans de tels cas ces mesures de mitigation se déclenchent quand même.

Mitigations du flux de code et de l'exécution

Une fois la mémoire corrompue, un exploit doit rediriger l'exécution vers du code contrôlé par l'attaquant. Sophos Endpoint applique une protection dynamique du tas (heap), un filtrage des adresses d'importation et une validation des bibliothèques de chargement. Ces contrôles sont invisibles pour l'application, mais ils interrompent la chaîne d'exploitation au moment de la prise de contrôle.

Renforcement/hardening de la sécurité du navigateur et des documents

Les navigateurs et les lecteurs de documents constituent la plus grande surface d'attaque logicielle pour la plupart des organisations et des cibles précises mentionnées dans les publications de Mythos. Sophos Endpoint applique un renforcement spécifique aux navigateurs, aux plug-ins, à Office et aux lecteurs PDF, notamment contre les techniques d'installation silencieuse courantes dans les kits d'exploit modernes.

Défense en matière d'identifiants et de post-exploitation

Si un attaquant parvient à introduire du code malveillant dans un système, la chaîne d'exploitation n'est pas terminée. Ils doivent encore obtenir des privilèges supérieurs, collecter des identifiants ou se déplacer latéralement. Sophos Endpoint perturbe ces comportements grâce à une protection contre le vol d'identifiants, la détection de code-cave, la protection contre les violations APC et des mesures de mitigation des attaques actives. Le rapport Active Adversary 2026 montre que les attaquants atteignent désormais Active Directory en trois heures et 24 minutes en moyenne. L'IA peut détecter la vulnérabilité plus rapidement, mais l'attaquant doit toujours procéder de la même manière une fois à l'intérieur.

Protection spécifique contre les ransomwares

CryptoGuard détecte les comportements de chiffrement non autorisés et restaure (roll back) les fichiers affectés. À mesure que l'IA accélère le passage de l'accès initial à la monétisation, la dernière ligne de défense contre les conséquences perturbatrices pour l'entreprise devient plus importante que jamais.

Pourquoi les autres outils de gestion endpoint ont-ils du mal à traiter ce problème ?

La plupart des produits de sécurité endpoint n'ont pas été conçus pour stopper les exploits comme l'a été Sophos Endpoint. 

Approche Detection-first et non Prevention-first

De nombreux outils endpoint ont été conçus selon une philosophie axée sur la détection : tout loguer, corréler plus tard, alerter en cas d'anomalie. Dans le cas d'une vulnérabilité zero-day générée par une IA, au moment où l'alerte se déclenche, l'exploit a déjà été exécuté et l'analyste investigue une intrusion en cours au lieu d'en prévenir une autre. Sophos Endpoint exécute une mesure de mitigation des exploits au moment même de l'attaque, réduisant ainsi considérablement le nombre de menaces qui parviennent à un analyste de sécurité.

Couverture qui dépend de la configuration

Plusieurs produits concurrents incluent des mesures de mitigation d’exploit, mais les fournissent désactivées, partiellement activées ou réservées à des niveaux supérieurs. Les fonctionnalités incluses doivent souvent être activées application par application. Les clients qui ne disposent pas d'une équipe de sécurité dédiée vont rarement au bout de cette configuration, et les protections qui auraient dû empêcher un exploit ne s'activent jamais. Sophos Endpoint active par défaut plus de 60 mesures de mitigation, sans limitation en termes de niveau, sans configuration par application et sans réglage requis.

La complexité du réglage pousse les clients à désactiver les protections

Les mesures de mitigation des exploits qui génèrent de fréquents faux positifs sont désactivées. Les protections sont techniquement présentes, mais désactivées sur l'ensemble du parc IT car elles interféraient avec des applications légitimes. Sophos Endpoint résout ce problème grâce à des exclusions granulaires, permettant aux administrateurs (ou à l'équipe Sophos X-Ops) d'exempter une seule mesure de mitigation pour un seul morceau de code dans une seule application, plutôt que de désactiver la prévention des exploits dans son ensemble.

Trois questions à poser à votre éditeur actuel

Lorsque l'IA peut générer un exploit fonctionnel en quelques minutes, tout produit de sécurité endpoint nécessitant une configuration manuelle pour activer ses propres défenses n'est pas un investissement en matière de sécurité, mais une faille qui ne demande qu'à être exploitée. Posez ces questions à votre éditeur actuel : 

1. La prévention des exploits est-elle activée par défaut pour chaque processus, pour tous les niveaux, sans aucun réglage nécessaire ? 
2. Depuis combien de temps ces mesures de prévention des exploits sont-elles déployées à grande échelle, et quel est leur historique en matière de compatibilité ?
3. La couche de mitigation couvre-t-elle les comportements post-exploitation (vol d'identifiants, élévation de privilèges, persistance, charge virale de ransomware), et pas seulement l'exploitation initiale ?
4. Lorsqu'un problème de compatibilité survient, la solution est-elle de type chirurgical ou nécessite-t-elle un affaiblissement de la protection à l'échelle du système ?

Si la réponse à l'une de ces questions est non, partielle ou « cela dépend de votre configuration », vous n'êtes pas protégé contre ce qui existe déjà.

Défense en profondeur : la place de Sophos Endpoint dans le système global

La prévention des exploits est la première ligne de défense la plus efficace, mais pas la seule. Sophos Endpoint partage des données télémétriques en temps réel sur les menaces et l'état du système avec l'écosystème Sophos, de sorte qu'une détection à n'importe quel niveau de contrôle déclenche une réponse coordonnée qui permet de contenir les attaques plus rapidement.

• La détection de malwares par Deep Learning repère les fichiers binaires connus et inconnus avant leur exécution. 
• La protection adaptative contre les attaques (Adaptive Attack Protection) renforce automatiquement le niveau de sécurité lorsqu'un système endpoint est attaqué. 
• La Sécurité Synchronisée (Synchronized Security) relie le système endpoint au pare-feu, à l'identité et à la messagerie électronique, de sorte qu'une détection au niveau d’un endroit particulier déclenche une réponse coordonnée partout. 
• Sophos MDR ajoute une surveillance menée par des experts 24h/24 et 7j/7, avec l'IA gérant le volume et avec des analystes humains qui conservent leur capacité de jugement.

Que faire maintenant ?

L'appel à l'action de Ross McKerchar concernant le périmètre à proprement parler est tout à fait pertinent : accélérer les correctifs, s'attaquer aux infrastructures en fin de vie, exiger davantage de vos éditeurs. Trois étapes supplémentaires du côté endpoint concernant le même problème :

1. Vérifiez que la protection contre les exploits soit bien activée et sans restriction sur chaque endpoint. Dans Sophos Central, vérifiez que les politiques de mitigation des exploits soient appliquées à l'ensemble du système et que les exclusions soient limitées aux applications qui en ont réellement besoin. Vous trouverez plus de détails dans la documentation Sophos. 
2. Installez les correctifs plus rapidement, mais ne vous fiez pas uniquement aux correctifs. Le rapport Active Adversary 2026 de Sophos a révélé un délai médian de 322 jours entre l'avis de l’éditeur et l'exploitation observée, et les vulnérabilités zero-day générées par l'IA réduiront encore ce délai.
3. Ajoutez une couche supplémentaire d'expertise humaine. Si vous ne disposez pas d'un SOC fonctionnant 24h/24 et 7j/7, Sophos MDR assure la surveillance experte qui transforme la télémétrie endpoint en résultats analysés et maîtrisés. L'IA gère le volume. Le jugement appartient aux humains.

Pour conclure : les points importants à retenir

La divulgation de Mythos n'est pas qu’un aperçu. C'est la nouvelle référence. L'IA détectera les vulnérabilités plus rapidement que n'importe quel cycle de correctifs ne pourra les corriger, et les exploits générés par l'IA atteindront des environnements qui n'ont jamais rien rencontré de tel auparavant.

Sophos Endpoint a été conçu justement pour ce moment précis : il ne s’est pas adapté à celui-ci après-coup et il ne s’est mis à jour en conséquence. L'architecture qui bloque une chaîne d'exploitation connue bloque également une chaîne générée par l'IA, car les techniques restent les mêmes même lorsque la vulnérabilité évolue. Ce n'est pas une fonctionnalité. Il s'agit d'un principe de conception, et c'est la raison pour laquelle plus de 60 mesures de mitigation sont activées par défaut sur chaque processus protégé dès le déploiement de l'agent.

Vos attaquants sont en train de mettre à jour leurs systèmes. Votre système de protection endpoint devrait déjà avoir une longueur d’avance sur eux.

Pour en savoir plus sur Sophos Endpoint, rendez-vous sur sophos.com/endpoint.

Billet inspiré de AI just became the world's most dangerous exploit writer. Here's why Sophos Endpoint is built to stop it, sur le Blog Sophos.