Mythos révèle les limites d’un Zero Trust centré sur le réseau

Martin Zugec, Technical Solutions Director de Bitdefender partage son analyse et ses recommandations

C’est précisément cette hypothèse que des systèmes comme Mythos viennent fissurer. Capable d’identifier et d’exploiter de manière autonome des vulnérabilités logicielles, ce type d’intelligence artificielle ne se contente pas d’accélérer les attaques. Il révèle une faille plus structurelle dans notre manière de penser la sécurité. Une fois l’accès accordé, l’usage du logiciel reste largement hors du champ de vigilance.

Mythos agit avant tout comme un révélateur : celui d’une confiance résiduelle accordée aux logiciels eux-mêmes. Or cette confiance n’a plus vraiment de fondement. Un Zero Trust centré sur le réseau ou l’identité laisse intacte une part essentielle du risque. Et c’est précisément dans cet angle mort que le rapport de force est en train de basculer.

Ce qui change n’est pas seulement la vitesse à laquelle les vulnérabilités sont exploitées. C’est le fait qu’elles deviennent systématiquement exploitables. Et à cette échelle, la question n’est plus de savoir qui accède au système, mais ce que les logiciels autorisés sont capables de faire une fois à l’intérieur.

Le cas de FreeBSD NFS en donne une illustration directe. Une exécution de code à distance sans authentification, avec un accès root complet, identifiée dans un composant légitime, largement déployé. Le point clé n’est pas seulement la gravité de la faille, mais son emplacement. Le risque ne vient plus uniquement d’un code malveillant ; il peut émerger d’une brique familière, validée, intégrée au cœur des environnements de production. Dès lors qu’un système peut passer, même partiellement, de la découverte d’une faille à son exploitation autonome, le sujet cesse d’être expérimental. Il devient stratégique.

Ce basculement rappelle d’autres moments de l’histoire de la sécurité, comme le fuzzing, qui a lui aussi accéléré la découverte de vulnérabilités avant de s’imposer. La différence est aujourd’hui temporelle : ce qui demandait des années peut se produire en quelques mois. Cette capacité va se diffuser, se banaliser, puis s’industrialiser. L’open source en amplifie la portée, non parce qu’il serait moins sûr par nature, mais parce qu’il concentre deux fragilités. La visibilité du code permet une analyse à grande échelle des composants critiques, tandis que la chaîne de distribution repose sur des mécanismes de confiance qui peuvent être détournés. L’affaire XZ Utils en a donné une illustration récente : lorsqu’un maillon est compromis, c’est l’ensemble de l’infrastructure de confiance qui devient un vecteur d’attaque. Un logiciel n’est donc pas sûr parce qu’il provient d’un canal reconnu.

Martin Zugec, Technical Solutions Director de Bitdefender

C’est précisément ici que le Zero Trust atteint ses limites actuelles. Vérifier qui se connecte ne suffit plus. La question devient celle du comportement : ce qu’un programme fait réellement une fois exécuté, ce qu’il cherche à atteindre, les privilèges qu’il mobilise et les écarts qu’il manifeste par rapport à sa fonction attendue.

Un logiciel signé ou distribué par une source reconnue ne peut plus bénéficier d’une présomption d’innocence. Une connexion inattendue, un accès injustifié à certains fichiers, une élévation de privilèges sans justification métier ou une exécution en mémoire sans trace sur disque doivent désormais déclencher le contrôle. Mais la détection ne suffit pas. Une compromission devient critique par ce qu’elle permet ensuite. La phase de post-exploitation repose largement sur l’usage détourné d’outils légitimes déjà présents dans l’environnement. Lorsqu’un attaquant récupère une identité ou un programme autorisé, il exploite des capacités déjà ouvertes, souvent invisibles tant qu’elles ne sont pas détournées.

Réduire cette surface d’attaque devient donc une exigence. Restreindre les privilèges au strict nécessaire, ajuster les accès aux usages réels et limiter les capacités ouvertes par défaut ne relèvent plus de bonnes pratiques secondaires, mais de conditions de résilience. Les organisations qui disposent déjà de capacités avancées d’analyse comportementale, de contrôle des privilèges et de réduction dynamique de la surface d’attaque sont, de fait, mieux armées pour absorber ce basculement.

Mythos ne rend pas obsolètes les mécanismes existants ; il en révèle les limites. Pris isolément, ils ne suffisent plus. Le déplacement est désormais architectural. Un Zero Trust qui contrôle l’utilisateur mais continue d’absoudre le logiciel reste incomplet. Et, dans la sécurité contemporaine, l’incomplétude n’est pas une prudence. C’est une faiblesse structurelle. La question n’est plus de savoir jusqu’où étendre le Zero Trust. Elle est de savoir s’il est encore pensé à la bonne échelle.