La Banque centrale européenne (BCE) a convoqué les établissements bancaires de la zone euro pour qu’ils corrigent les vulnérabilités identifiées par Claude Mythos, le modèle d’intelligence artificielle développé par Anthropic et réservé à la cybersécurité défensive. Selon les informations recueillies, plus de 10 000 failles critiques ont été détectées en six semaines dans des logiciels open source largement déployés par le secteur financier.
Un outil de détection massif
Anthropic a lancé le 7 avril 2026 le programme Project Glasswing, donnant accès à Claude Mythos à une quarantaine de partenaires triés sur le volet, dont AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike et JPMorgan Chase. Le modèle scanne automatiquement les bases de code de logiciels open source couramment utilisés dans le domaine bancaire et signale les vulnérabilités critiques avant qu’elles ne soient exploitées.
Au 22 mai, le tableau de bord de divulgation coordonnée d’Anthropic faisait état de 1 596 vulnérabilités signalées à travers 281 projets open source, dont 97 avaient déjà été corrigées par les mainteneurs. Mozilla a notamment utilisé Mythos pour détecter et corriger 271 failles dans Firefox 150, soit dix fois plus que ce que les outils précédents identifiaient sur un cycle de mise à jour comparable.
Pourquoi la BCE intervient
Les banques européennes utilisent massivement des bibliothèques open source dans leurs systèmes de paiement, de trading et de gestion des risques. Lorsque Mythos identifie une faille critique dans une dépendance logicielle comme OpenSSL ou Log4j, la vulnérabilité touche potentiellement des dizaines d’établissements simultanément. Dans le cadre de sa mission de supervision prudentielle, la BCE exige des banques qu’elles appliquent les correctifs dans des délais contraints.
Contexte géopolitique
Anthropic, bannie par l’administration Trump en février 2026 pour avoir refusé l’usage militaire de ses modèles, fournit désormais l’outil que la BCE juge indispensable pour sécuriser le système bancaire européen. Le 22 mai, Anthropic a indiqué envisager une « sortie générale » de Mythos « une fois les garde-fous suffisamment renforcés », un signal de dégel après des mois de restrictions totales. Par ailleurs, les États-Unis cherchent à garder la main sur Claude Mythos face aux banques européennes, ce qui ajoute une dimension géopolitique au dossier.
Conséquences pour les clients
Pour les clients français des banques concernées, l’impact est indirect mais réel : les correctifs imposés par la BCE protègent les systèmes qui traitent leurs virements, leurs paiements par carte et leurs données personnelles. La BCE n’a pas précisé le nombre d’établissements concernés ni le délai exact accordé pour les corrections, mais l’enjeu est clair : éviter que les failles identifiées ne soient exploitées par des acteurs malveillants.
