MDASH, le système de Microsoft qui défie Mythos sur la cybersécurité
Il y avait une vulnérabilité dans le noyau TCP/IP de Windows qui n'attendait qu'à être trouvée. Techniquement, cela s'appelle un "use-after-free" : un composant du système d'exploitation continuait d'utiliser un pointeur dans une zone mémoire qui avait déjà été libérée, comme quelqu'un qui continuerait de tourner la poignée d'une porte alors que la serrure a été démontée. Sur les systèmes multiprocesseurs, ce moment d'inattention peut devenir une fenêtre par laquelle un attaquant distant, sans identifiants, sans besoin de s'authentifier, pourrait prendre le contrôle de la machine. La vulnérabilité n'était pas cachée dans l'obscurité d'un pilote secondaire : elle se trouvait dans tcpip.sys, le composant qui gère le trafic réseau de chaque installation Windows depuis près de trois décennies.
Le 12 mai 2026, Microsoft a publié le Patch Tuesday qui corrigeait cette vulnérabilité ainsi que quinze autres failles similaires, dont quatre classées comme "Critical" en raison de leur capacité à permettre l'exécution à distance de code arbitraire. Ce n'est pas un chercheur humain qui les avait trouvées. C'est MDASH, un système d'intelligence artificielle assemblé par l'équipe interne de Microsoft appelée Autonomous Code Security (ACS).
L'annonce est publiée sur le blog officiel de Microsoft Security et signée par Taesoo Kim, Vice-président de l'Agentic Security. C'est ce même chercheur qui dirigeait la Team Atlanta, le groupe qui a remporté en 2024 le DARPA AI Cyber Challenge, empochant 29,5 millions de dollars en construisant un système autonome capable de trouver et de corriger des bugs réels dans des projets open source complexes. Cette compétition était une sorte de Grand Prix de la sécurité autonome : les équipes construisaient des systèmes qui s'affrontaient sans supervision humaine sur du code jamais vu auparavant. La Team Atlanta a gagné. Ensuite, Microsoft a racheté l'équipe.
Les quatre vulnérabilités critiques méritent une attention particulière car elles illustrent exactement le type de problème qui résiste aux outils traditionnels. La CVE-2026-33827 réside dans tcpip.sys et concerne la mauvaise gestion du cycle de vie d'un objet Path lors du traitement de paquets IPv4 avec l'option Strict Source and Record Route. Le code libère une référence à l'objet, puis l'utilise de nouveau : dans un système multiprocesseur, entre ces deux moments, un autre thread peut avoir déjà libéré la mémoire. Le résultat est une race condition qu'un attaquant distant peut exploiter en envoyant des paquets IPv4 conçus à cet effet, sans aucune authentification. La CVE-2026-33824, quant à elle, se trouve dans ikeext.dll, le composant qui gère le protocole IKEv2 pour les connexions VPN : une double libération de mémoire provoquée par seulement deux paquets UDP, aucune course temporelle nécessaire, exécution dans le contexte LocalSystem, le niveau de privilège le plus élevé du système d'exploitation. Sur n'importe quelle machine configurée comme répondeur IKEv2 (infrastructures VPN d'entreprise, DirectAccess, Always-On VPN), les deux paquets suffisent.
Les douze autres vulnérabilités couvrent dnsapi.dll, netlogon.dll, http.sys, telnet.exe : déni de service, élévation de privilèges, divulgation d'informations. Le périmètre est la pile réseau de Windows. La question qu'il convient de se poser n'est pas seulement "comment les a-t-il trouvées ?", mais "pourquoi personne ne les avait trouvées auparavant ?".
L'orchestre plutôt que le soliste
MDASH est un acronyme que Microsoft a construit avec soin : Multi-moDel Agentic Scanning Harness. Le "harness" (harnais en français) désigne la structure qui maintient ensemble les pièces d'un système complexe. Le terme vient de l'industrie automobile, où il désigne le faisceau de câbles qui transporte le courant et les signaux dans tout le véhicule. Ce choix n'est pas fortuit : Microsoft veut communiquer sur le fait que la valeur ne réside dans aucun composant unique, mais dans l'architecture qui les relie.
Le blog officiel le dit explicitement, avec une formulation dont il vaut la peine de citer la substance : "le modèle est une entrée, le système est le produit". MDASH n'est pas un modèle d'intelligence artificielle. C'est un système qui coordonne plus de cent agents spécialisés répartis sur un ensemble de modèles différents : certains de grande taille pour le raisonnement lourd, certains distillés pour les étapes à haut volume, et un second modèle de pointe comme contre-épreuve indépendante.
Le flux de travail s'articule en cinq phases. Dans la phase Prepare, le système ingère le code source, construit des index sémantiques et cartographie la surface d'attaque en analysant l'historique des commits. Dans la phase Scan, des agents spécialisés dans le rôle d'"auditeurs" parcourent les chemins de code candidats, formulant des hypothèses et recueillant des preuves. Dans la phase Validate, un second groupe d'agents, les "débatteurs", argumente contre chaque découverte (finding) : ils cherchent à la démonter, à prouver que le chemin n'est pas atteignable ou que les conditions nécessaires ne peuvent pas se produire simultanément. La phase Dedup fusionne les doublons sémantiques. Enfin, la phase Prove construit et exécute des entrées de déclenchement (trigger) réelles : si le système affirme qu'un bug existe, il doit aussi le prouver en générant l'entrée qui le manifeste dans un environnement contrôlé.
L'aspect le plus intéressant du point de vue de l'architecture est le mécanisme de désaccord. Lorsqu'un agent auditeur signale un élément suspect et que le débatteur ne parvient pas à le réfuter, la crédibilité de la découverte augmente. Le contraste entre les modèles devient un signal de diagnostic : si un système de pointe et un système distillé s'accordent sur une vulnérabilité après un cycle de débat, la probabilité d'un faux positif chute drastiquement. C'est un mécanisme qui rappelle l'examen par les pairs (peer review) scientifique plutôt que les scanners statiques classiques, et c'est exactement le type d'architecture qu'aucun modèle unique, aussi sophistiqué soit-il, ne peut reproduire seul.
Le système inclut également un mécanisme de plugins qui permet aux équipes spécialisées d'injecter du contexte que les modèles fondateurs ne peuvent pas déduire de manière autonome : les conventions d'appel du noyau Windows, les invariants de verrouillage (lock), les limites de confiance IPC. Le plugin spécifique pour CLFS (le Common Log File System) sait comment construire un fichier de log de déclenchement à partir d'une découverte candidate : il connaît la structure du conteneur sur le disque, la séquence de validation des blocs, la machine à états en mémoire. Cette approche modulaire a permis à MDASH d'atteindre un taux de rappel (recall) de 96 % sur les cas historiques du MSRC dans clfs.sys, et de 100 % dans tcpip.sys sur cinq ans de vulnérabilités confirmées.
Pour la CVE-2026-33827, le bug était invisible lors d'une analyse locale : la violation du cycle de vie de l'objet Path n'est pas contenue dans une fonction unique, mais distribuée sur un flux de contrôle non trivial, des branches alternatives et des conditions de sortie anticipée. Aucun outil traditionnel ne voit le lien entre la libération de la référence et la réutilisation ultérieure du pointeur. Pour la CVE-2026-33824, la situation était encore plus complexe : l'alias de bug (bug aliasing) qui conduit à la double libération de mémoire s'étend sur six fichiers sources différents, et la preuve la plus forte de son existence est un schéma identique correctement implémenté dans l'un des six fichiers. L'écart par rapport au cas correct n'est visible que par celui qui connaît les deux implémentations. MDASH l'a trouvé car ses agents auditeurs sont conçus pour rechercher précisément ces incohérences comparatives entre différents fichiers.
Les chiffres : que dit le benchmark et qui les a comptés
Le point fort quantitatif de l'annonce de Microsoft est le score obtenu au benchmark CyberGym : 88,45 %, première place du classement public au moment de la publication, soit environ cinq points de plus que le deuxième. Le benchmark est développé par l'UC Berkeley et comprend 1 507 tâches réelles extraites de 188 projets OSS-Fuzz, consistant en l'exécution autonome d'exploits sur des vulnérabilités documentées. Ce n'est pas un test synthétique : les tâches proviennent de vulnérabilités réelles dans des projets open source réels, et la métrique mesure combien de reproductions d'exploits le système parvient à achever de manière autonome.
Le deuxième du classement au moment de l'annonce était Mythos d'Anthropic, avec 83,1 %. Le troisième était GPT-5.5 d'OpenAI, avec environ 81,8 %.
Ici, une distinction s'impose que l'annonce de Microsoft ne fait pas explicitement, mais qui est méthodologiquement pertinente. CyberGym est un benchmark public et indépendant : n'importe qui peut soumettre ses résultats, la méthodologie est vérifiable et la comparaison avec d'autres systèmes est tendanciellement équitable, du moins dans la mesure où des benchmarks de ce type peuvent l'être. Les chiffres figurant sur le tableau de bord de CyberGym ont donc un degré de crédibilité que d'autres données de l'annonce ne peuvent revendiquer.
Les tests internes, en revanche, sont tous auto-produits. Le test sur StorageDrive, le pilote privé comportant 21 vulnérabilités implantées, n'a pas été validé par des tiers. Le rappel de 96 % sur clfs.sys et de 100 % sur tcpip.sys repose sur des cas internes du MSRC chez Microsoft, sur du code propriétaire qu'aucun évaluateur externe ne peut examiner de manière indépendante. Les seize vulnérabilités du Patch Tuesday sont réelles et correctes, ce qui constitue la validation la plus concrète possible (les bugs existaient vraiment), mais cela ne répond pas à la question de savoir combien de bugs similaires le système a manqués, ni combien de faux positifs il a produits au cours des cycles d'analyse qui n'ont pas fini dans un communiqué de presse.
Microsoft est elle-même honnête sur certaines limites : l'analyse des échecs sur les 12 % restants de CyberGym révèle que 82 % des erreurs proviennent de tâches aux descriptions vagues, dépourvues d'identifiants de fonction ou de fichier, et que certains cas échouent en raison d'une inadéquation de format entre les entrées générées par le système et les harnais de fuzzing attendus. Ce n'est pas un système infaillible. Mais le tableau d'ensemble qui ressort de l'annonce est construit avec la sélection typique de toute communication d'entreprise : on montre les meilleurs chiffres, on contextualise les limites sans les souligner.
Le benchmark CyberGym est le chiffre à retenir. Les autres doivent être lus en sachant d'où ils viennent.
Mythos contre MDASH : deux philosophies face à face
Ceux qui ont lu notre article sur Project Glasswing et Claude Mythos reconnaîtront immédiatement la polarité narrative : Anthropic d'un côté avec un modèle unique, surpuissant, à l'accès délibérément restreint ; Microsoft de l'autre avec un système d'agents qui orchestre des modèles généralement disponibles sur le marché.
La différence n'est pas seulement technique. Elle est philosophique, presque politique.
Mythos est ce que l'on appellerait en informatique un système fermé (closed-world) : un modèle de pointe non encore rendu public, accessible uniquement à des partenaires sélectionnés dans le cadre du Project Glasswing. Anthropic a annoncé le modèle en avril 2026 en précisant explicitement qu'elle n'avait pas de projet de distribution générale dans l'immédiat, invoquant la nécessité de développer des garanties techniques plus robustes avant de le mettre en circulation. Le modèle a trouvé des vulnérabilités vieilles de 27 ans dans OpenBSD et a identifié des bugs dans FFmpeg que 5 millions d'exécutions de tests automatiques n'avaient jamais interceptés. Il a obtenu 83,1 % sur CyberGym non pas en tant que système agentique complexe, mais grâce à la capacité intrinsèque d'un modèle unique.
MDASH est l'opposé : Microsoft déclare explicitement que les résultats ont été obtenus en utilisant des modèles généralement disponibles, sans aucun modèle propriétaire secret dans le harnais. La valeur réside dans l'architecture qui les coordonne, pas dans les poids d'un modèle spécifique. Ce choix a une conséquence architecturale majeure : lorsqu'un nouveau modèle plus performant devient disponible sur le marché, MDASH l'incorpore en modifiant simplement une configuration. L'investissement dans les plugins, les processus de validation et les spécialisations des agents survit aux changements de modèle.
Du point de vue de ceux qui travaillent dans la sécurité, la question pratique est différente pour les deux systèmes. Mythos n'est accessible aujourd'hui qu'à ceux qui font partie du cercle restreint des partenaires Glasswing (de grands noms comme AWS, Google, Apple, Cisco), avec une tarification de 25 dollars par million de tokens en entrée une fois disponible, des tarifs qui excluent la plupart des organisations de taille moyenne. MDASH est en aperçu privé (private preview), avec la possibilité de s'inscrire via un formulaire public, et Microsoft signale vouloir le rendre accessible à un nombre croissant de clients.
Aucun des deux n'est démocratique dans son accès, du moins aujourd'hui. Mais les trajectoires sont différentes : Mythos est construit autour de l'exceptionnalité d'un artefact unique et non reproductible, MDASH autour d'une architecture qui, par principe, est indépendante de tout modèle spécifique.
Il y a aussi une question plus subtile sur la comparaison des benchmarks. Mythos obtient 83,1 % sur CyberGym en tant que système relativement direct, sans architecture agentique élaborée en soutien. MDASH obtient 88,45 % avec cette même architecture qui coordonne des modèles disponibles publiquement. Cela signifie que l'écart de cinq points pourrait se réduire ou s'inverser si Anthropic appliquait à Mythos le même type d'échafaudage agentique que celui de MDASH, ou si Microsoft intégrait Mythos comme composant du harnais. Les benchmarks comparent des configurations spécifiques, pas des capacités absolues.
La course aux armements : défense et attaque sont la même chose
Il y a un point que Microsoft et Anthropic abordent délicatement dans leurs annonces et qu'il vaut la peine de traiter sans euphémisme : tout système capable de trouver des vulnérabilités de manière autonome est, d'un point de vue technique, indiscernable d'un système capable de les exploiter.
Le blog de Microsoft décrit avec précision comment la CVE-2026-33824 produit une double libération de mémoire d'un bloc de taille fixe, "une primitive de corruption bien comprise dans la gestion moderne de la mémoire de Windows", pour s'arrêter là, sans publier de détails supplémentaires sur l'exploitation. C'est exactement la ligne de la divulgation responsable : assez de détails pour convaincre que le bug est réel et grave, assez de réserve pour ne pas livrer un exploit fonctionnel à quiconque lit le blog.
Mais le système qui a trouvé le bug connaît les détails que le blog omet. Et la question qui n'a pas encore de réponse publique satisfaisante est la suivante : qui contrôle l'accès à cette connaissance, avec quelle supervision, et avec quelles conséquences si cet accès est compromis ou détourné ?
La logique de la défense proactive est cohérente : les défenseurs doivent trouver les vulnérabilités avant les attaquants. Mais chaque saut dans les capacités défensives abaisse également le coût d'entrée pour l'offensive. Un système comme MDASH entre les mains d'un acteur hostile, avec un accès aux bons modèles et l'architecture décrite dans le blog public de Microsoft, serait un outil de reconnaissance offensive d'une efficacité redoutable. Ce n'est pas une hypothèse lointaine : c'est la logique structurelle de toute technologie à double usage (dual-use).
Microsoft maintient pour l'instant MDASH en aperçu privé avec une sélection manuelle des participants, et Taesoo Kim a déclaré que des discussions avec des responsables gouvernementaux américains sont en cours. Ce n'est pas une garantie suffisante pour ceux qui pensent à l'échelle d'une décennie : les modèles se diffusent, les techniques se répliquent, les frontières entre initiés et profanes sont poreuses par définition. Ce n'est pas une critique spécifique à Microsoft : c'est le contexte structurel dans lequel toute initiative de ce type opère, et c'est une conversation que l'industrie continue de repousser.
La comparaison qui vient à l'esprit n'est pas des plus rassurantes : elle ressemble à la dynamique décrite dans le manga Pluto de Naoki Urasawa, où les robots les plus puissants de l'histoire sont construits pour apporter la paix, et où cette capacité même en fait les armes les plus dangereuses jamais créées. La technologie n'a pas d'intentions. Ce sont les architectures de gouvernance qui l'entourent qui en ont.
Conclusion : pas quel modèle, mais quel système
Le point que MDASH démontre le plus clairement ne concerne ni Microsoft, ni Anthropic, ni la comparaison entre leurs scores respectifs sur CyberGym. Il concerne une transition de paradigme qui était attendue, mais qui dispose désormais de données concrètes : l'IA pour la sécurité a franchi le seuil entre l'expérimentation et la production.
Seize vulnérabilités réelles, corrigibles, corrigées lors d'un Patch Tuesday réel. Quatre d'entre elles auraient permis à un attaquant distant non authentifié d'exécuter du code arbitraire sur des systèmes Windows. Elles ne se trouvaient pas dans un code de niche : elles étaient dans la pile réseau qui gouverne chaque connexion réseau sur chaque Windows actif aujourd'hui. Et personne ne les avait trouvées avec les outils traditionnels.
La leçon d'architecture — que le système vaut plus que le modèle, que la portabilité entre les générations de modèles est la propriété la plus durable, que la validation est elle-même une chaîne de traitement séparée — est probablement la chose la plus importante qui ressort de l'annonce, plus encore que les chiffres du benchmark. C'est une leçon valable pour quiconque construit des outils de sécurité basés sur l'IA, quels que soient les modèles qu'il choisit d'utiliser aujourd'hui.
Reste la question des données : les chiffres internes de Microsoft sur StorageDrive et sur les cas du MSRC sont des affirmations d'entreprise, pas des audits indépendants. Le benchmark CyberGym est le terrain sur lequel la comparaison est vérifiable. Et c'est sur ce terrain que, au moment de la publication, MDASH occupe la première place.
Combien de temps ? Cela dépendra de ce qu'Anthropic décidera de faire avec Mythos au sein d'un système agentique. Et, surtout, de ce qui viendra après.
Microsoft a ouvert les inscriptions pour la private preview de MDASH.