Mozilla Firefox : 423 vulnérabilités comblées en avril 2026 grâce à l’intelligence artificielle

Mozilla a corrigé 423 failles de sécurité dans Firefox en avril 2026. L’intelligence artificielle a joué un rôle clé dans cette chasse aux vulnérabilités. Claude Mythos Preview, un modèle d’IA d’Anthropic, a permis de détecter 271 bugs critiques.

C’est un record pour le navigateur. On a rarement vu un tel coup de balai sécuritaire en un seul mois. Et franchement, ça fait réfléchir sur l’état du code après toutes ces années.

L’IA Claude Mythos au cœur de la traque aux vulnérabilités Firefox

Les ingénieurs de Mozilla ont mis en place un pipeline automatisé. Un « harness agentique » comme ils disent, couplé au fuzzing maison. Le but ? Trier le vrai du faux, les fausses alertes des vrais trous de sécurité.

Ils ont testé Claude Opus 4.6 d’abord. Le modèle était capable de créer ses propres scénarios de test pour prouver l’existence d’un bug. Pas juste balancer un « j’ai trouvé un truc louche ». Non. Il exécutait le code, plantait le navigateur, et rapportait une preuve reproductible.

Mais le vrai game changer, c’est Claude Mythos Preview. Un modèle non public, reservé à une poignée de chercheurs. Il a permis de dénicher 271 failles qui ont atterri dans Firefox 150 et ses mises à jour.

Brian Grinstead, Christian Holler et Frederik Braun, les ingénieurs Mozilla, racontent que l’exercice est délicat. « Il est peu coûteux de demander à un LLM de trouver un problème, mais lent et coûteux d’y répondre. » C’est le piège des faux positifs.

Sauf que là, les modèles se sont améliorés. Et les chercheurs aussi ont appris à mieux les guider. La combinaison des deux évite de perdre son temps à vérifier des alertes bidons.

Une classification sévère mais réaliste des 271 failles détectées

Parmi les 271 vulnérabilités trouvées par Claude Mythos Preview, 180 ont une sévérité haute. Le pire, c’est qu’elles peuvent être déclenchées par une navigation normale. Un simple clic sur un lien malveillant suffit.

Ensuite, 80 failles modérées nécessitent des manipulations complexes. L’utilisateur doit cliquer ici, faire glisser là, ouvrir une popup. Pas simple pour l’attaquant, mais pas impossible non plus.

Enfin, 11 faibles sévérités causent des plantages, des crashs du navigateur. Pas de fuite de données directe, mais ça énerve et ça peut cacher d’autres attaques.

Ce qui m’a frappé, c’est que certaines failles dataient de 15 ou 20 ans. Une vulnérabilité XSLT dormait dans le code depuis les débuts de Firefox. Personne ne l’avait vue. L’IA a mis le doigt dessus.

Mozilla précise que « ce que les modèles n’ont pas trouvé est tout aussi intéressant ». Les défenses multicouches du navigateur ont tenu bon. Les test n’ont pas réussi à contourner les mécanismes de protection. Bon signe.

L’intelligence artificielle, nouvel allié des administrateurs systèmes

Moi, Jean-Luc, je vous le dis tout de suite. J’ai pas confiance dans les jeunes qui sortent de l’école et qui savent à peine monter un serveur DNS. Mais l’IA, c’est autre chose.

Un outil capable d’analyser des millions de lignes de code en quelques heures. Et qui trouve des bugs que personne n’a vus pendant 20 ans. Faut reconnaître que ça a de la gueule.

Chez moi, j’ai monté un lab avec des VMs. J’y teste des scripts, je chasse les failles moi-même. Mais l’IA peut traiter des volumes que je ne pourrai jamais atteindre. C’est pas une question de compétence, c’est une question d’échelle.

Les équipes Mozilla ont mobilisé une centaine de contributeurs pour traiter ce flot de vulnérabilités. Sans l’IA pour les détecter, ils auraient mis des mois à les trouver. Peut-être même jamais.

La phrase qui conclut leur rapport, c’est : « Le moment actuel est périlleux, mais aussi plein d’opportunités. Travaillons ensemble pour sécuriser Internet. » Ça sonne un peu pompeux, mais c’est vrai.

On peut critiquer l’IA, se méfier des modèles boîte noire. Mais quand elle permet de corriger 423 failles en un mois, faut avouer que ça change la donne. Surtout quand certaines étaient là depuis 1998.

Alors oui, je reste vieux jeu. Je préfère un bon batch script à un assistant virtuel. Mais l’IA dans la sécurité, ça commence à devenir sérieux. Et pour une fois, c’est pas du blabla LinkedIn.