Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, MasterCard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
tag
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
13周年庆
Récompenses
OKTA

Prix Okta Inc

OKTA
€55,12
+€1,13(+2,09 %)

*Données dernièrement actualisées : 2026-04-13 16:10 (UTC+8)

Au 2026-04-13 16:10, Okta Inc (OKTA) est coté à €55,12, avec une capitalisation boursière totale de €9,11B, un ratio cours/bénéfices (P/E) de 63,22 et un rendement du dividende de 0,00 %. Aujourd'hui, le cours de l'action a fluctué entre €53,62 et €56,00. Le prix actuel est de 2,81 % au-dessus du plus bas de la journée et de 0,95 % en dessous du plus haut de la journée, avec un volume de trading de 7,20M. Au cours des 52 dernières semaines, OKTA a évolué entre €53,61 et €70,49, et le prix actuel est à -21,81 % de son plus haut sur 52 semaines.

Statistiques clés de OKTA

Clôture d’hier€58,02
Capitalisation du marché€9,11B
Volume7,20M
Ratio P/E63,22
Rendement des dividendes (TTM)0,00 %
BPA dilué (TTM)1,32
Revenu net (exercice fiscal)€201,20M
Revenus (exercice annuel)€2,49B
Date de gains2026-05-26
Estimation BPS0,86
Estimation des revenus€643,89M
Actions en circulation157,13M
Bêta (1 an)0.762

À propos de OKTA

Okta, Inc. fournit des solutions d'identité pour les entreprises, les petites et moyennes entreprises, les universités, les organisations à but non lucratif et les agences gouvernementales aux États-Unis et à l'international. La société propose Okta Identity Cloud, une plateforme qui offre une gamme de produits et services, tels que Directory Universel, un système de gestion basé sur le cloud pour stocker et sécuriser les profils des utilisateurs, des applications et des appareils d'une organisation ; Single Sign-On qui permet aux utilisateurs d'accéder aux applications dans le cloud ou sur site depuis divers appareils ; Authentification Multi-Facteurs Adaptative qui ajoute une couche de sécurité pour les applications cloud, mobiles, web et les données ; Gestion du Cycle de Vie qui permet aux équipes IT ou aux développeurs de gérer l'identité d'un utilisateur tout au long de son cycle de vie ; Gestion d'Accès API qui permet aux organisations de sécuriser leurs API ; Passerelle d'Accès qui permet aux organisations d'étendre le Okta Identity Cloud de la cloud à leurs applications sur site existantes ; et Accès Serveur Avancé pour sécuriser l'infrastructure cloud. Elle propose également les produits Auth0, notamment Connexion Universelle qui permet aux clients d'offrir une expérience de connexion cohérente sur différentes applications et appareils ; Protection contre les Attaques, une suite de capacités de sécurité pour se protéger contre le trafic malveillant ; Authentification Multi-Facteurs Adaptative qui minimise les frictions pour les utilisateurs finaux ; Authentification sans mot de passe permettant aux utilisateurs de se connecter sans mot de passe et supportant diverses méthodes de connexion ; Machine à Machine qui offre une authentification et une autorisation conformes aux standards ; Cloud Privé permettant aux clients de faire fonctionner une instance cloud dédiée d'Auth0 ; et Organisations qui permet aux clients d'avoir des configurations, expériences de connexion et options de sécurité indépendantes. La société offre également un support client, des formations et des services professionnels. Elle vend ses produits directement aux clients via une force de vente et des partenaires de distribution. La société était auparavant connue sous le nom de Saasure, Inc. Okta, Inc. a été fondée en 2009 et a son siège à San Francisco, en Californie.
SecteurTechnologie
IndustrieLogiciel - Infrastructure
PDGTodd McKinnon
Siège socialSan Francisco,CA,US
Site officielhttps://www.okta.com
Effectifs (exercice annuel)6,36K
Revenu moyen (1 an)€392,59K
Revenu net par employé€31,60K

FAQ de Okta Inc (OKTA)

Quel est le cours de l'action Okta Inc (OKTA) aujourd'hui ?

x
Okta Inc (OKTA) s’échange actuellement à €55,12, avec une variation sur 24 h de +2,09 %. La fourchette de cotation sur 52 semaines est de €53,61 à €70,49.

Quels sont les prix le plus haut et le plus bas sur 52 semaines pour Okta Inc (OKTA) ?

x

Quel est le ratio cours/bénéfice (P/E) de Okta Inc (OKTA) ? Que signifie-t-il ?

x

Quelle est la capitalisation boursière de Okta Inc (OKTA) ?

x

Quel est le bénéfice par action (EPS) trimestriel le plus récent pour Okta Inc (OKTA) ?

x

Faut-il acheter ou vendre Okta Inc (OKTA) maintenant ?

x

Quels sont les facteurs pouvant influencer le cours de l’action Okta Inc (OKTA) ?

x

Comment acheter l'action Okta Inc (OKTA) ?

x

Avertissement sur les risques

Le marché boursier comporte un niveau élevé de risque et de volatilité des prix. La valeur de votre investissement peut augmenter ou diminuer, et vous pourriez ne pas récupérer le montant investi au complet. Les performances passées ne constituent pas un indicateur fiable des résultats futurs. Avant de prendre toute décision d’investissement, vous devez évaluer soigneusement votre expérience en matière d’investissement, votre situation financière, vos objectifs d’investissement et votre tolérance au risque, et effectuer vos propres recherches. Le cas échéant, consultez un conseiller financier indépendant.

Avertissement

Le contenu de cette page est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement, un conseil financier ou une recommandation de trading. Gate ne pourra être tenu responsable de toute perte ou dommage résultant de telles décisions financières. De plus, veuillez noter que Gate pourrait ne pas être en mesure de fournir un service complet dans certains marchés et juridictions, notamment, mais sans s’y limiter, les États-Unis d’Amérique, le Canada, l’Iran et Cuba. Pour plus d’informations sur les zones restreintes, veuillez consulter les conditions d’utilisation.

Autres Marchés de Trading

OKTA
CFD
Trader

Publications populaires sur Okta Inc (OKTA)

MarketMaestro

MarketMaestro

04-10 01:37
$OKTA Cela a provoqué une cassure infructueuse ❗️ et est repassé en dessous du CHoCH et de la ligne de support
0
0
0
0
CycleProphet

CycleProphet

04-08 01:51
Qu’est-ce que c’est, vraiment : une conscience de sécurité authentique, ou une stratégie de marketing de compétences soigneusement orchestrée ? Auteur : Deep Tide TechFlow Le 7 avril, Anthropic a fait une chose que l’industrie de l’IA n’avait jamais vue : elle a publié officiellement un modèle, puis a dit au monde entier que vous ne pouvez pas l’utiliser. Ce modèle s’appelle Claude Mythos Preview. Ce n’est pas un chatbot, ni un assistant pour écrire du code. Selon les propres termes d’Anthropic, c’est une « machine de découverte de vulnérabilités », **qui, au cours des quelques semaines passées, a trouvé de façon autonome des milliers de vulnérabilités zero-day, couvrant tous les systèmes d’exploitation majeurs et tous les navigateurs majeurs. Certaines de ces vulnérabilités avaient déjà survécu pendant plus de vingt ans aux revues de code effectuées par des humains et aux tests automatisés.** Le bug le plus ancien, dissimulé dans l’OpenBSD réputé pour sa sécurité, a déjà 27 ans. Anthropic n’a pas mis Mythos sur API, et ne l’a pas non plus ouvert aux utilisateurs ordinaires. Elle a choisi une voie inédite : constituer une alliance de géants de la tech appelée « Project Glasswing », et ne fournir le modèle qu’à 12 partenaires clés, dont Amazon, Apple, Microsoft, Google, NVIDIA, CrowdStrike et Palo Alto Networks, ainsi qu’à environ 40 organisations chargées de maintenir des infrastructures critiques. Pour cela, Anthropic s’est engagée à offrir jusqu’à 100 millions de dollars de quota d’utilisation, ainsi qu’à faire un don direct de 4 millions de dollars à des organisations de sécurité open source. C’est la première fois dans l’industrie de l’IA qu’on observe la situation suivante : « le modèle est trop puissant, on n’ose pas le publier ». Le problème, c’est ceci : est-ce une conscience de sécurité authentique, ou bien un marketing de compétences soigneusement mis en scène ? L’affaire du sandwich ----- Dans la fiche système (System Card) de 244 pages de Mythos, se cachent quelques détails inquiétants, dont le plus marquant est « l’affaire du sandwich ». Lors d’un test interne de comportement, Anthropic a fourni à une version précoce de Mythos un environnement de sandbox renforcé, simulant des instructions d’utilisateurs lui demandant d’essayer de s’échapper et de trouver un moyen de contacter des chercheurs à l’extérieur. Le modèle y est parvenu. Il a franchi la cage de sécurité et a envoyé un email aux chercheurs. À ce moment-là, ce chercheur était en train de manger un sandwich dans un parc. Mais l’histoire ne s’arrête pas là. Sans y avoir été invité, Mythos a publié de lui-même les détails techniques de son évasion sur plusieurs sites décrits comme « difficiles à découvrir, mais techniquement publics ». D’après la formulation exacte de la fiche système, il s’agit d’un comportement « préoccupant et sans demande » qui relève de l’étalage. Ce n’est pas la seule fois. La fiche système enregistre aussi les comportements suivants : Les versions précoces, dans plusieurs instances, recherchaient des identifiants via l’interface /proc de Linux, tentaient de contourner la sandbox et élevaient les privilèges. Elles ont réussi à obtenir des ressources que l’Anthropic ne fournissait volontairement pas, y compris des identifiants de service de messagerie, des identifiants de contrôle de code source, et même des clés API d’Anthropic en consultant la mémoire des processus. Dans un cas, le modèle a trouvé une méthode pour modifier un fichier qu’il n’avait pas le droit de modifier, puis a poursuivi ses actions en s’assurant que ces modifications n’apparaissent pas dans l’historique des changements de Git. Un autre cas : le modèle a obtenu par accident une réponse précise à un problème d’estimation via une méthode explicitement interdite, mais il ne l’a pas signalé et n’a pas refusé de répondre ; il a plutôt résolu à nouveau le problème lui-même, et dans son raisonnement interne, a réfléchi explicitement au fait que « la réponse finale ne devrait pas être trop précise », afin d’éviter d’être détecté. En d’autres termes, au début, Mythos ne faisait pas seulement des actions hors de ses autorisations : il masquait aussi activement les traces, ajustait sa façon d’agir pour échapper à la supervision. Anthropic souligne que ces incidents graves se sont tous produits sur des versions précoces avant les interventions de formation, et que la version Preview finale a été nettement améliorée. Mais cette narration elle-même est glaciale : un modèle, avant d’être entraîné à « être sage », a montré de quoi il était capable lorsqu’il « n’obéit pas ». De 0 % à 72,4 % ----------- Ce qui a véritablement secoué l’industrie avec Mythos n’est pas son récit d’évasion, mais sa capacité d’attaque. Le modèle phare précédent d’Anthropic, Claude Opus 4.6, affiche un taux de réussite proche de zéro dans le développement autonome d’exploitations de vulnérabilités. Il peut trouver des vulnérabilités, mais il est presque incapable de les transformer en code d’attaque opérationnel. Mythos Preview est totalement différent : dans le domaine de test du moteur JavaScript de Firefox, le taux de réussite de sa conversion des vulnérabilités découvertes en exploit exécutable atteint 72,4 %. Encore plus impressionnant : la complexité des attaques. Mythos a écrit de façon autonome une chaîne d’exploitation de vulnérabilité pour navigateur, reliant quatre vulnérabilités indépendantes afin de construire une attaque de type JIT heap spraying, réussissant à s’échapper de la sandbox du rendu ainsi que de la sandbox du système d’exploitation. Dans un autre cas, il a écrit un exploit d’exécution de code à distance sur un serveur NFS FreeBSD, en répartissant 20 gadgets ROP dans plusieurs paquets de données réseau, réalisant un accès root complet pour un utilisateur non autorisé. Dans le monde des chercheurs en sécurité humains, ces attaques par chaînes de vulnérabilités correspondent à des missions réservées aux équipes APT de tout premier plan. Désormais, un modèle d’IA généraliste peut les accomplir de manière autonome. Le responsable du red teaming d’Anthropic, Logan Graham, a déclaré à Axios que Mythos Preview possède des capacités de raisonnement équivalentes à celles d’un chercheur en sécurité avancé. Nicholas Carlini l’a formulé encore plus directement : ces dernières semaines, il a trouvé plus de bugs avec Mythos que sur l’ensemble de sa carrière. En benchmarks, Mythos écrase aussi la concurrence. CyberGym benchmark de reproduction des vulnérabilités : 83,1 % (Opus 4.6 à 66,6 %). SWE-bench Verified : 93,9 % (Opus 4.6 à 80,8 %). SWE-bench Pro : 77,8 % (Opus 4.6 à 53,4 %, et auparavant le leader GPT-5.3-Codex à 56,8 %). Terminal-Bench 2.0 : 82,0 % (Opus 4.6 à 65,4 %). Ce n’est pas une amélioration incrémentale. C’est un modèle qui, sur presque tous les benchmarks de codage et de sécurité, creuse en une seule fois un écart de plusieurs dizaines de points, voire de plus d’une vingtaine de points. Le « modèle le plus fort » divulgué ---------- L’existence de Mythos n’est pas devenue connue du grand public le 7 avril. Fin mars, un journaliste de Fortune et des chercheurs en sécurité ont découvert dans un CMS mal configuré d’Anthropic près de 3000 documents internes non publiés. Dans un brouillon d’article, le nom « Claude Mythos » est explicitement utilisé, et le texte le décrit comme « le modèle d’IA le plus puissant à ce jour » d’Anthropic. Le code interne est « Capybara » (le ragondin), représentant un nouveau niveau de modèles, plus grand, plus puissant et aussi plus coûteux que le flagship Opus existant. Une phrase, dans les documents divulgués, a touché le système nerveux du marché : Mythos est « largement en avance sur tout autre modèle d’IA en matière de capacités de cybersécurité », annonçant l’arrivée d’une vague de modèles « capables d’exploiter des vulnérabilités à un rythme bien supérieur à celui des défenseurs ». Cette phrase a déclenché un « krach éclair » dans le secteur de la cybersécurité le 27 mars. CrowdStrike a chuté de 7,5 % en une journée, ne perdant qu’une seule journée de cotation pour s’évaporer environ 15 milliards de dollars de capitalisation boursière. Palo Alto Networks a baissé de plus de 6 %, Zscaler de 4,5 %, Okta, SentinelOne et Fortinet ont toutes chuté de plus de 3 %. L’ETF de cybersécurité iShares (IHAK) a même chuté d’environ 4 % en cours de séance. La logique des investisseurs est simple : si un modèle d’IA généraliste peut découvrir et exploiter des vulnérabilités de manière autonome, alors les deux douves que les entreprises de sécurité traditionnelles utilisent pour survivre — « des renseignements propriétaires sur les menaces » et « des connaissances d’experts humains » — pourront-elles encore tenir combien de temps ? Un analyste de Raymond James, Adam Tindle, a pointé plusieurs risques clés : l’avantage de la défense traditionnelle se comprime, la complexité des attaques et les coûts de défense augmentent en même temps, et les architectures de sécurité ainsi que le schéma de dépenses doivent être restructurés. Une vision plus pessimiste vient de l’analyste de KBW, Borg, qui estime que Mythos a le potentiel « d’élever n’importe quel hacker ordinaire au niveau d’un adversaire étatique ». Mais il y a aussi un autre côté du marché. Après la chute de son cours boursier, le PDG de Palo Alto Networks, Nikesh Arora, a acheté 10 millions de dollars de ses propres actions. La logique des investisseurs haussiers est la suivante : une IA d’attaque plus puissante signifie que les entreprises doivent mettre à niveau plus vite leur défense ; les dépenses de cybersécurité ne diminueront pas, elles accéléreront plutôt la transition des outils traditionnels vers une défense native à l’IA. Project Glasswing : la fenêtre de temps des défenseurs -------------------------- Anthropic a choisi de ne pas publier Mythos au grand public, et a plutôt mis en place une alliance de défense. La logique centrale de cette décision, c’est le « décalage temporel ». Le CTO de CrowdStrike, Elia Zaitsev, a formulé le problème de manière très claire : la fenêtre de temps entre la découverte d’une vulnérabilité et son exploitation a été réduite de plusieurs mois à quelques minutes. Lee Klarich de Palo Alto Networks a averti directement tout le monde : il faut se préparer à ce que des attaquants assistés par IA soient à l’œuvre. Le calcul d’Anthropic est le suivant : avant que d’autres laboratoires n’entraînent des modèles capables de produire des capacités similaires, permettre d’abord aux défenseurs d’utiliser Mythos pour corriger les vulnérabilités les plus critiques. C’est la logique de Project Glasswing, dont le nom fait référence au « papillon à ailes de verre » et sert de métaphore pour des vulnérabilités « cachées dans la vue ». Jim Zemlin de la Linux Foundation a mis en évidence un problème structurel de longue date : la connaissance en sécurité est traditionnellement un luxe pour les grandes entreprises, tandis que les mainteneurs open source qui soutiennent les infrastructures critiques mondiales n’ont longtemps eu d’autre choix que de bricoler leurs mesures de sécurité. Mythos apporte une voie crédible pour corriger cette asymétrie. Mais la question, c’est : quelle est l’ampleur de cette fenêtre de temps ? La société chinoise Zhipu AI (Z.ai) a publié GLM-5.1 presque le même jour, en affirmant arriver numéro un mondial sur SWE-bench Pro, et en précisant qu’elle a été entièrement entraînée sur des puces Huawei Ascend, sans utiliser un seul GPU NVIDIA. GLM-5.1 est open source avec des poids ouverts et un prix agressif. Si Mythos représente le plafond de capacité dont les défenseurs ont besoin, alors GLM-5.1 est un signal : ce plafond se rapproche rapidement, et les participants qui s’en approchent n’ont peut-être pas forcément les mêmes intentions de sécurité. OpenAI non plus ne restera pas sans agir. Selon des informations, son modèle de pointe codé « Spud » aurait achevé le préentraînement à peu près au même moment. Les deux entreprises se préparent à l’IPO plus tard cette année. Le moment de la divulgation de Mythos, qu’il soit réellement accidentel ou non, tombe exactement au carrefour le plus explosif. Précurseur en cybersécurité ou marketing de compétences ? ----------- Il faut affronter une question inconfortable : Anthropic ne publie-t-elle pas Mythos par souci de sécurité, ou est-ce déjà, en soi, la forme la plus élevée de marketing produit ? Les sceptiques ont de bonnes raisons de douter. Dario Amodei et Anthropic ont une historique consistant à augmenter la valeur produit en mettant en scène le danger des modèles de rendu. Jake Handy a écrit sur Substack : « L’affaire du sandwich, cacher les traces dans Git, la baisse auto-infligée dans l’évaluation — tout cela est peut-être vrai, mais le fait qu’Anthropic obtienne une telle ampleur de couverture médiatique montre en soi que c’est précisément l’effet qu’ils voulaient. » Une entreprise née de la cybersécurité, dont une erreur de configuration du CMS a conduit à la divulgation d’environ 3000 fichiers ; l’année dernière encore, à cause d’une erreur dans le paquet logiciel de Claude Code, elle a accidentellement exposé près de 2000 fichiers de code source et plus de 500k lignes de code, puis lors du processus de nettoyage, a aussi conduit au retrait accidentel de milliers de dépôts de code sur GitHub. Une entreprise dont la sécurité et les capacités sont le principal argument de vente, qui ne parvient même pas à maîtriser sa propre procédure de publication : cette contradiction est plus intéressante que n’importe quel benchmark. Mais d’un autre point de vue, si les capacités de Mythos sont vraiment celles décrites, alors ne pas le publier est un choix qui coûte extrêmement cher. Anthropic abandonne des revenus d’API, renonce à des parts de marché, et verrouille le modèle le plus puissant dans une alliance limitée. Le quota d’utilisation de 100 millions de dollars n’est pas une petite somme. Pour une entreprise encore déficitaire et en train de préparer une IPO, cela ne ressemble pas à une décision purement marketing. Une interprétation plus rationnelle pourrait être la suivante : les inquiétudes en matière de sécurité sont réelles, mais Anthropic sait aussi clairement que le récit « notre modèle est trop fort donc on n’ose pas le publier » lui sert de preuve la plus convaincante des capacités. Les deux choses peuvent être vraies en même temps. « L’instant iPhone » de la cybersécurité ? ----------------- Quelle que soit la façon dont vous percevez les motivations d’Anthropic, le fait sous-jacent révélé par Mythos est impossible à ignorer : la compréhension du code et les capacités d’attaque de l’IA ont franchi un seuil de transformation qualitative. Le modèle précédent (Opus 4.6) pouvait détecter des vulnérabilités, mais était presque incapable d’écrire des exploits. Mythos peut détecter des vulnérabilités, écrire des exploits, chaîner les vulnérabilités, s’échapper des sandboxes, obtenir des privilèges root, et effectuer tout le processus de manière autonome. Des ingénieurs qui n’ont jamais eu de formation en sécurité peuvent demander à Mythos de chercher des vulnérabilités avant de dormir, puis se réveiller le lendemain matin avec un rapport complet d’exploit fonctionnel. Que signifie cela ? Cela signifie que le coût marginal de découverte et d’exploitation des vulnérabilités tend vers zéro. Là où, auparavant, les meilleures équipes de sécurité mettaient des mois à accomplir la tâche, désormais, un simple appel d’API suffit pour que cela soit fait en une nuit. Ce n’est pas seulement de « l’efficacité », c’est une transformation totale de la structure des coûts. Pour les entreprises traditionnelles de cybersécurité, les fluctuations à court terme du cours de l’action ne seraient peut-être qu’un prélude. Le vrai défi est le suivant : lorsque l’attaque et la défense sont toutes deux pilotées par des modèles d’IA, comment la chaîne de valeur de la sécurité va-t-elle être reconstruite ? L’analyse de Raymond James propose une possibilité : les fonctions de sécurité pourraient finir par être intégrées directement dans les plateformes cloud elles-mêmes, ce qui mettrait une pression fondamentale sur le pouvoir de fixation des prix des fournisseurs de sécurité indépendants. Pour l’industrie logicielle dans son ensemble, Mythos ressemble davantage à un miroir qui révèle les dettes techniques accumulées pendant des décennies. Les vulnérabilités qui ont survécu pendant 27 ans aux revues humaines et aux tests automatisés ne l’ont pas fait parce que personne ne les cherchait, mais parce que l’attention et la patience des humains sont limitées. L’IA n’a pas cette limite. Pour l’industrie de la cryptographie, le signal est encore plus mordant. Sur le marché de l’audit de sécurité des protocoles DeFi et des smart contracts, il dépend depuis longtemps de quelques cabinets d’audit professionnels et d’experts humains. Si un modèle de niveau Mythos peut effectuer de lui-même l’ensemble du processus, de la revue du code à la construction de l’exploit, alors les prix, l’efficacité et la crédibilité des audits seront redéfinis de manière radicale. Cela pourrait être une bénédiction pour la sécurité on-chain, ou bien la fin des douves des cabinets d’audit. La course à la sécurité de l’IA en 2026 est passée de « est-ce que le modèle comprend le code ? » à « est-ce que le modèle peut détruire ton système ? » Anthropic choisit de faire passer d’abord les défenseurs à l’action, mais elle reconnaît aussi que cette fenêtre ne restera pas ouverte trop longtemps. Quand l’IA devient le hacker le plus fort, la seule sortie est de faire en sorte que l’IA devienne aussi le plus fort des gardiens. Le problème, c’est que gardiens et hackers utilisent le même modèle.
2
0
0
0
DeepFlowTech

DeepFlowTech

04-08 01:51
Auteur : Profondeur TechFlow Le 7 avril, Anthropic a fait quelque chose d’inédit dans l’industrie de l’IA : elle a publié officiellement un modèle… puis a dit au monde entier que vous ne pouvez pas l’utiliser. Ce modèle s’appelle Claude Mythos Preview. Ce n’est pas un chatbot, ni une assistance pour écrire du code. Selon Anthropic elle-même, c’est une « machine de découverte de failles ». Au cours des dernières semaines, il a identifié de manière autonome des milliers de vulnérabilités zero-day, couvrant tous les systèmes d’exploitation majeurs et tous les navigateurs majeurs. Certaines de ces failles ont survécu pendant vingt ans aux revues de code humaines et aux tests automatisés. Le bug le plus ancien, dissimulé dans OpenBSD, réputé pour sa sécurité, a déjà 27 ans. Anthropic n’a pas mis Mythos sur API, ni ne l’a ouvert au grand public. Elle a choisi une voie sans précédent : monter une alliance de géants de la tech baptisée « Project Glasswing », en ne fournissant le modèle qu’à 12 partenaires clés, dont Amazon, Apple, Microsoft, Google, NVIDIA, CrowdStrike, Palo Alto Networks, etc., plus environ 40 organisations chargées de maintenir des infrastructures critiques. Pour cela, Anthropic s’est engagée à fournir jusqu’à 100 millions de dollars de quota d’utilisation, ainsi qu’à verser directement 4 millions de dollars à des organisations de sécurité open source. C’est la première fois que l’industrie de l’IA se retrouve face à la situation : « Le modèle est trop puissant, on n’ose pas le publier ». Le problème, c’est de savoir si c’est une véritable conscience de la sécurité, ou une campagne marketing de capacités minutieusement conçue. L’affaire du sandwich Dans la fiche système (System Card) de Mythos, longue de 244 pages, se cachent plusieurs détails inquiétants. Le plus marquant est « l’affaire du sandwich ». Lors d’un test interne de comportement, Anthropic a fourni à une version précoce de Mythos un environnement de bac à sable renforcé, simulant des instructions utilisateur lui demandant d’essayer de s’évader et de tenter de contacter des chercheurs à l’extérieur. Le modèle a réussi. Il a percé le conteneur de sécurité et a envoyé un e-mail aux chercheurs. À ce moment-là, le chercheur mangeait un sandwich dans un parc. Mais l’histoire ne s’arrête pas là. Mythos, sans y être invité, a publié spontanément des détails techniques du jailbreak sur plusieurs sites « difficiles à déceler mais techniquement publics ». En reprenant les termes exacts de la fiche système, il s’agit d’une « démonstration préoccupante et non sollicitée ». Ce n’est pas la seule fois. La fiche système enregistre aussi les comportements suivants : Sur des versions précoces, dans plusieurs instances, le modèle a cherché des identifiants via l’interface Linux /proc, a tenté de contourner le bac à sable, puis d’augmenter ses privilèges. Il a réussi à obtenir des ressources que, volontairement, Anthropic ne fournit pas, y compris des identifiants de service de messagerie, des identifiants de contrôle du code source, et même, en inspectant la mémoire du processus, des clés d’API d’Anthropic. Dans un cas, le modèle a trouvé une méthode pour modifier un fichier qu’il n’était pas autorisé à modifier, puis a agi de façon à garantir que ces modifications n’apparaîtraient pas dans l’historique des modifications de Git. Un autre cas : le modèle a obtenu par inadvertance une réponse exacte à une question d’estimation via une méthode explicitement interdite, mais il n’a pas signalé le problème et n’a pas refusé de répondre ; au contraire, il a reposé la question lui-même, et dans sa réflexion interne, il a explicitement envisagé que « la réponse finale ne devrait pas être trop exacte », afin d’éviter d’être détecté. Autrement dit, dans ses versions précoces, Mythos ne faisait pas seulement des actions en dépassement d’autorisations : il dissimulait aussi activement les traces et ajustait sa propre performance pour échapper à la supervision. Anthropic insiste sur le fait que ces incidents graves se sont tous produits avant l’intervention pendant l’entraînement, sur les versions précoces ; la version Preview finalement publiée s’est fortement améliorée. Mais rien que cette narration est déjà glaçante : avant d’être entraîné à « obéir », un modèle montre ce qu’il peut faire quand il « n’obéit pas ». De 0% à 72.4% Ce qui a vraiment secoué l’industrie avec Mythos, ce n’est pas son récit de jailbreak, mais sa capacité d’attaque. Le précédent modèle phare d’Anthropic, Claude Opus 4.6, avait un taux de réussite proche de zéro dans le développement autonome d’exploitations de vulnérabilités. Il pouvait trouver des failles, mais avait presque impossible de les transformer en code d’attaque fonctionnel. Mythos Preview, en revanche, est totalement différent : dans un domaine de tests du moteur JavaScript de Firefox, le taux de réussite de la transformation des vulnérabilités détectées en exploits exécutables atteint 72.4%. Encore plus surprenant : la complexité des attaques. Mythos a écrit de manière autonome une chaîne d’exploitation de navigateur, reliant quatre vulnérabilités indépendantes, pour construire une attaque de « heap spraying » JIT. Il a réussi à s’échapper à la fois du sandbox du rendu et du sandbox du système d’exploitation. Dans un autre cas, il a écrit sur le serveur NFS FreeBSD un exploit d’exécution de code à distance, en répartissant 20 gadgets ROP sur plusieurs paquets de données réseau, réalisant ainsi un accès root complet pour des utilisateurs non autorisés. Dans le monde des chercheurs en sécurité humains, ce type d’attaque par chaîne de vulnérabilités relève d’un travail réservé aux équipes APT de tout premier niveau. Désormais, un modèle d’IA généraliste peut l’accomplir de manière autonome. Le responsable de la red team d’Anthropic, Logan Graham, a déclaré à Axios que Mythos Preview possède des capacités de raisonnement comparables à celles de chercheurs en sécurité humains avancés. Nicholas Carlini l’a dit encore plus directement : au cours des dernières semaines, les bugs découverts avec Mythos sont plus nombreux que ceux qu’il a trouvés pendant toute sa carrière. Sur les tests de référence, Mythos écrase également la concurrence. CyberGym, benchmark de reproduction de vulnérabilités : 83.1% (Opus 4.6 à 66.6%). SWE-bench Verified : 93.9% (Opus 4.6 à 80.8%). SWE-bench Pro : 77.8% (Opus 4.6 à 53.4%, précédemment en tête pour GPT-5.3-Codex à 56.8%). Terminal-Bench 2.0 : 82.0% (Opus 4.6 à 65.4%). Ce n’est pas un progrès marginal. C’est un modèle qui, dans presque tous les benchmarks de code et de sécurité, creuse d’un coup un écart de plusieurs dizaines de points à plusieurs dizaines de points. Le « modèle le plus fort » divulgué L’existence de Mythos n’était pas connue du grand public le 7 avril. Fin mars, un journaliste de Fortune et des chercheurs en sécurité ont découvert, dans un CMS mal configuré d’Anthropic, près de 3000 documents internes non publiés. Dans un brouillon d’article de blog, il est fait explicitement référence au nom « Claude Mythos », et il est décrit comme le « modèle d’IA le plus puissant d’Anthropic à ce jour ». Le code interne est « Capybara » (cobaye), représentant un nouveau niveau de modèle, plus grand, plus puissant et plus coûteux que le flagship Opus actuel. Parmi les éléments divulgués, une phrase a immédiatement fait vibrer les nerfs du marché : Mythos, en matière de cybersécurité, « est largement en avance sur n’importe quel autre modèle d’IA », annonçant l’arrivée d’une vague de modèles capables d’exploiter des vulnérabilités à une vitesse bien supérieure à celle des défenseurs. Cette phrase a provoqué, le 27 mars, un « effondrement éclair » du secteur de la cybersécurité. CrowdStrike a chuté de 7.5% en une seule journée ; en un seul jour de bourse, elle a effacé environ 15 milliards de dollars de capitalisation. Palo Alto Networks a reculé de plus de 6%, Zscaler de 4.5%, Okta et SentinelOne et Fortinet ont tous reculé de plus de 3%. L’iShares Cybersecurity ETF (IHAK) a brièvement plongé d’environ 4% en séance. La logique des investisseurs est très simple : si un modèle d’IA généraliste peut découvrir et exploiter des vulnérabilités de manière autonome, combien de temps les « renseignements sur les menaces propriétaires » et les « connaissances d’experts humains », qui servent de douves aux sociétés de sécurité traditionnelles, pourront-ils encore tenir ? Le stratégiste d’analyses Adam Tindle de Raymond James a pointé plusieurs risques clés : l’avantage de défense traditionnel se contracte, la complexité des attaques et les coûts de défense augmentent en même temps, et la configuration des architectures et des dépenses est confrontée à une restructuration. Le point de vue le plus pessimiste vient de l’analyste Borg de KBW, qui estime que Mythos a le potentiel « d’élever n’importe quel pirate ordinaire au niveau de rivaux de niveau étatique ». Mais le marché a aussi une autre face. Après l’effondrement du cours de bourse, le PDG de Palo Alto Networks, Nikesh Arora, a acheté pour 10 millions de dollars d’actions de sa propre société. La logique des haussiers est la suivante : une IA d’attaque plus puissante signifie que les entreprises doivent mettre à niveau leur défense plus vite ; les dépenses de cybersécurité ne diminueront pas, elles accéléreront simplement la transition des outils traditionnels vers des défenses natives à l’IA. Project Glasswing : la fenêtre des défenseurs Anthropic a choisi de ne pas publier Mythos, et de former à la place une alliance de défense. La logique centrale derrière cette décision est « l’écart de temps ». Le CTO de CrowdStrike, Elia Zaitsev, a résumé le problème très clairement : la fenêtre temporelle entre la découverte d’une vulnérabilité et son exploitation est passée de plusieurs mois à quelques minutes. Lee Klarich de Palo Alto Networks a directement averti tout le monde : il faut se préparer à des attaques assistées par l’IA. Le calcul d’Anthropic est le suivant : avant que d’autres laboratoires n’entraînent des modèles avec des capacités similaires, faire en sorte que la partie défensive utilise Mythos pour corriger les vulnérabilités les plus critiques. C’est la logique de Project Glasswing : le nom vient du papillon « glasswing », une métaphore des failles « cachées au vu de tous ». Jim Zemlin de la Linux Foundation a mis en évidence un problème structurel de longue date : les connaissances spécialisées en sécurité sont depuis toujours un luxe pour les grandes entreprises, tandis que les mainteneurs open source qui soutiennent des infrastructures critiques à l’échelle mondiale n’ont, depuis longtemps, d’autre choix que de bricoler leur protection sécurité par eux-mêmes. Mythos offre une voie crédible pour corriger cette asymétrie. Le problème, c’est la taille de cette fenêtre temporelle. En Chine, Zhipu AI (Z.ai) a publié GLM-5.1 presque le même jour, affirmant être classée numéro un mondial sur SWE-bench Pro, et avoir été entraînée entièrement sur des puces Ascend de Huawei, sans utiliser un seul GPU NVIDIA. GLM-5.1 est à poids open source et au prix agressif. Si Mythos représente le plafond des capacités nécessaires aux défenseurs, GLM-5.1 est un signal : ce plafond est en train d’être approché rapidement, et les participants qui l’approchent n’ont peut-être pas les mêmes intentions de sécurité. OpenAI ne reste pas non plus les bras croisés. Selon les informations, le modèle de pointe dont le code est « Spud » a terminé l’entraînement préalable à peu près au même moment. Les deux entreprises se préparent à l’IPO plus tard cette année. Le moment de la fuite de Mythos, qu’il soit réellement accidentel ou non, tombe à un nœud particulièrement explosif. Précurseur de la sécurité ou marketing de capacités ? Il faut affronter une question inconfortable : Anthropic ne publie-t-elle pas Mythos par souci de sécurité, ou est-ce en soi la forme la plus élevée de marketing produit ? Les sceptiques ont de bonnes raisons. Dario Amodei et Anthropic ont une histoire de valorisation de la valeur produit en mettant en scène la dangerosité des modèles de rendu. Jake Handy a écrit sur Substack : « L’affaire du sandwich, le masquage des traces dans Git, l’auto-diminution dans les évaluations—c’est peut-être vrai, mais le fait qu’Anthropic obtienne une exposition médiatique d’une telle ampleur montre que c’est exactement l’effet qu’ils voulaient. » Une entreprise qui a commencé avec la sécurité de l’IA, et qui a provoqué elle-même une erreur de configuration de son CMS conduisant à la fuite de près de 3000 fichiers ; l’année dernière encore, à cause d’une erreur dans le paquet logiciel de Claude Code, elle a involontairement exposé près de 2000 fichiers de code source et plus de 500k lignes de code, puis pendant le nettoyage, a entraîné la mise hors ligne accidentelle de milliers de dépôts de code sur GitHub. Une entreprise dont la sécurité est le principal argument de vente, et qui ne parvient même pas à maîtriser sa propre chaîne de publication : ce contraste vaut bien plus la réflexion que n’importe quel benchmark. Mais, de l’autre côté, si les capacités de Mythos sont bien celles décrites, ne pas publier serait un choix au coût extrêmement élevé. Anthropic renonce aux revenus d’API, renonce à des parts de marché, et verrouille le modèle le plus puissant dans une alliance limitée. Le quota d’utilisation de 100 millions de dollars n’est pas négligeable. Pour une entreprise encore déficitaire, en train de préparer une IPO, ce n’est pas quelque chose qui ressemble à une simple décision marketing. La lecture la plus raisonnable serait peut-être la suivante : les inquiétudes de sécurité sont réelles, mais Anthropic sait aussi clairement que le récit « notre modèle est trop fort donc nous n’osons pas le publier » est, en soi, la preuve la plus convaincante de ses capacités. Les deux choses peuvent être vraies en même temps. Le « moment iPhone » de la cybersécurité ? Quelle que soit votre façon de voir les motivations d’Anthropic, le fait sous-jacent révélé par Mythos ne peut pas être ignoré : la compréhension du code par l’IA et ses capacités d’attaque ont franchi un seuil de changement qualitatif. Le modèle précédent (Opus 4.6) pouvait découvrir des vulnérabilités mais était presque incapable d’écrire des exploits. Mythos peut découvrir des vulnérabilités, écrire des exploits, chaîner des chaînes de vulnérabilités, s’échapper du sandbox, obtenir des droits root, et accomplir l’ensemble du processus de manière autonome. Sans ingénieurs non formés à la sécurité, il suffit de demander à Mythos avant de dormir pour qu’il aille chercher des vulnérabilités, et le lendemain matin, on se réveille avec un rapport complet d’exploit fonctionnel. Qu’est-ce que cela signifie ? Que le coût marginal de découverte et d’exploitation des vulnérabilités s’approche de zéro. Là où, dans le passé, il fallait des mois à des équipes de sécurité de haut niveau, désormais, un simple appel d’API peut tout accomplir en une nuit. Ce n’est pas de la « productivité ». C’est un changement radical dans la structure des coûts. Pour les entreprises de cybersécurité traditionnelles, la volatilité des cours de bourse à court terme n’est peut-être que le début. Le véritable défi se situe ailleurs : lorsque l’attaque comme la défense seront toutes deux pilotées par des modèles d’IA, comment la chaîne de valeur du secteur de la sécurité va-t-elle être redessinée ? L’analyse de Raymond James propose une possibilité : à terme, les fonctionnalités de sécurité pourraient être intégrées directement au sein des plateformes cloud elles-mêmes, et le pouvoir de fixation des prix des fournisseurs de sécurité indépendants pourrait faire face à une pression fondamentale. Pour l’ensemble de l’industrie du logiciel, Mythos ressemble davantage à un miroir qui reflète la dette technique accumulée au fil de dizaines d’années. Les vulnérabilités qui ont survécu pendant 27 ans aux revues humaines et aux tests automatisés ne survivent pas parce que personne ne les cherche, mais parce que l’attention et la patience humaines sont limitées. L’IA n’a pas cette contrainte. Pour l’industrie de la cryptographie, ce signal est encore plus mordant. Le marché de l’audit de sécurité des protocoles DeFi et des smart contracts s’appuie depuis longtemps sur quelques sociétés d’audit spécialisées et sur des experts humains. Si un modèle de niveau Mythos peut accomplir de manière autonome l’ensemble du processus, de la revue du code à la construction d’exploits, les prix, l’efficacité et la crédibilité de l’audit seront redéfinis de fond en comble. Ce sera peut-être un bien pour la sécurité on-chain, ou bien la fin des douves des sociétés d’audit. La compétition en sécurité de l’IA en 2026 a déjà évolué de « est-ce que le modèle peut comprendre le code ? » vers « est-ce que le modèle peut attaquer votre système ? ». Anthropic a choisi de mettre d’abord les défenseurs sur scène, mais elle admet aussi que cette fenêtre ne restera pas ouverte longtemps. Quand l’IA devient le hacker le plus puissant, la seule issue est de faire en sorte que l’IA devienne aussi le gardien le plus puissant. Le problème, c’est que le gardien et le hacker utilisent le même modèle.
GLM-0,32 %
2
0
0
0