Une semaine a suffi pour transformer une décision administrative en crash-test mondial pour l’IA de pointe. Après un ordre venu de la Maison-Blanche, Anthropic a dû couper l’accès à Fable et surtout à Mythos, y compris à des utilisateurs pourtant déjà filtrés. Officiellement, il s’agit de contrôles à l’exportation motivés par la sécurité nationale. Officieusement, c’est le retour d’un vieux réflexe politique : traiter le code comme une matière stratégique qu’il serait possible de contenir par décret. L’histoire des technologies raconte pourtant l’inverse avec une régularité presque comique.
Du PGP des années 1990 aux logiciels espions encadrés par l’arrangement de Wassenaar, la même mécanique réapparaît. Une innovation perçue comme dangereuse déclenche une réponse réglementaire rapide, puis vient le contournement des contrôles, les failles d’application, les acteurs déplacés vers d’autres juridictions, et finalement une diffusion plus large que prévu. La vraie question n’est donc pas seulement de savoir si Washington peut ralentir l’exportation numérique de modèles avancés. Elle est de savoir si cette méthode a déjà réellement fonctionné pour des technologies logicielles reproductibles, copiables et distribuables à l’échelle d’Internet. Jusqu’ici, la réponse a rarement rassuré les partisans d’une réglementation musclée.
En bref : le blocage de Mythos marque le premier grand test des contrôles à l’exportation appliqués à l’IA avancée ; l’affaire rappelle le précédent PGP, quand la cryptographie avait été traitée comme une arme sans empêcher sa diffusion ; les règles sur les logiciels espions ont ensuite montré les mêmes limites, entre application inégale et délocalisation ; au fond, la sécurité informatique progresse rarement quand l’accès est bloqué de façon brutale, surtout dans un secteur où la connaissance circule plus vite que les frontières ; derrière le bras de fer actuel, c’est aussi la liberté d’information et la capacité des entreprises américaines à rester compétitives qui se jouent.
Mythos et les contrôles à l’exportation : pourquoi ce blocage rappelle déjà PGP
Depuis son lancement au printemps, Mythos a été présenté comme un outil à très haut risque, capable d’aider à trouver des failles et d’automatiser des opérations offensives à un niveau inhabituel. Anthropic avait d’ailleurs limité sa diffusion à un cercle restreint d’organisations triées sur le volet, environ 150 entreprises et institutions, avec un argument simple : donner de l’avance aux défenseurs avant que des acteurs malveillants n’atteignent seuls ce niveau de capacité.
Le déclic du blocage serait venu de deux alertes successives. D’un côté, l’accès accordé à un opérateur télécom sud-coréen a suscité l’inquiétude de responsables américains, qui soupçonnaient des liens indirects avec la Chine, accusation contestée par l’entreprise visée. De l’autre, Amazon aurait signalé un moyen de contourner certaines protections de Fable 5. Anthropic a minimisé l’incident en parlant d’un problème étroit et déjà corrigé. Mais dans ce genre de séquence, la nuance technique perd souvent face à l’urgence politique.
Le plus frappant reste la vitesse de l’exécution. Selon plusieurs récits, l’entreprise aurait eu environ 90 minutes pour restreindre l’accès à ses modèles après notification. Cette brutalité administrative donne une impression de maîtrise. Pourtant, l’histoire de la réglementation numérique montre qu’un bouton rouge n’empêche pas forcément la circulation des idées, des méthodes et des équivalents fonctionnels. Voilà exactement pourquoi le parallèle avec PGP est si difficile à ignorer.
Quand le code devient une arme sur le papier, mais pas dans les faits
Au début des années 1990, l’État américain considérait déjà un autre logiciel comme trop dangereux pour circuler librement. Ce logiciel, c’était PGP, pour Pretty Good Privacy, un outil de cryptographie qui permettait de chiffrer des messages de manière si robuste qu’une interception ne suffisait plus à en lire le contenu. Pour les agences de renseignement, c’était une menace directe contre la surveillance des communications. Pour les défenseurs de la vie privée, c’était une révolution.
Phil Zimmermann, créateur de PGP, s’est retrouvé visé par une longue enquête criminelle liée aux règles américaines sur l’exportation des technologies assimilées à des munitions. C’est l’un des épisodes les plus révélateurs de l’histoire des technologies modernes : le gouvernement cherchait à empêcher la circulation d’un programme, alors que ce programme pouvait être copié, partagé et reconstitué bien plus vite qu’un objet physique. La situation a viré au symbole lorsque le code source a été publié sous forme de livre imprimé, transformant un logiciel en texte protégé par la circulation des idées.
Le résultat final est resté célèbre : l’enquête a été abandonnée, PGP n’a pas disparu, et le monde a continué vers l’adoption massive du chiffrement de bout en bout. Les messageries sécurisées utilisées aujourd’hui par des milliards de personnes doivent une partie de leur existence à cette bataille. Quand une règle prétend stopper une capacité logicielle utile, mais finit seulement par retarder son adoption légitime, elle révèle ses propres limites.
Ce précédent mérite d’être regardé sans nostalgie. Il ne dit pas que toute restriction est absurde, mais qu’en matière de logiciel, l’exportation numérique n’obéit pas aux mêmes lois que l’acier, l’uranium ou les missiles. C’est là que le cas Mythos devient fascinant.
De la cryptographie aux logiciels espions : les contrôles à l’exportation contournés encore et encore
Après les guerres de la cryptographie, les gouvernements ont tenté une autre approche avec les logiciels de surveillance et de piratage. Dans les années 2010, des chercheurs ont mis au jour l’usage de spyware occidentaux contre des dissidents, des journalistes et des militants au Moyen-Orient. La réponse a pris la forme d’un élargissement de l’arrangement de Wassenaar, destiné à classer certains outils offensifs comme technologies à double usage. L’idée, sur le papier, semblait solide : imposer des licences d’exportation pour freiner la vente à l’étranger.
Le problème, c’est que ces textes reposent sur une application nationale inégale. Certains pays clés n’adhèrent pas au dispositif, et d’autres l’appliquent avec une souplesse qui vide l’ensemble de sa force. Résultat : des entreprises ont pu continuer à vendre des capacités intrusives pendant des années, parfois avec l’aval des autorités, alors même que leur historique de ventes à des régimes répressifs était bien documenté. La mécanique est presque toujours la même : on annonce une règle globale, puis la concurrence réglementaire reprend le dessus.
L’Italie a longtemps servi d’exemple embarrassant avec Hacking Team, dont les outils se sont retrouvés entre les mains de gouvernements accusés de cibler des journalistes et des défenseurs des droits humains. Plus tard, d’autres structures ont déplacé leurs opérations vers des juridictions plus permissives. Le consortium Intellexa, sanctionné, a illustré cette agilité géographique. Certains acteurs ont même cherché à se rapprocher de pays où l’encadrement était plus accueillant, comme l’Arabie saoudite.
Il existe bien quelques contre-exemples. FinFisher, en Allemagne, a fini par fermer en 2022 après une enquête prolongée sur des ventes présumées sans licence à la Turquie. C’est important, car cela montre qu’une action ciblée peut produire des effets. Mais ce type de victoire ressemble davantage à une opération de police qu’à une preuve de réussite systémique. Le paysage global, lui, a continué d’encourager le contournement des contrôles.
Pourquoi la réglementation fonctionne mieux sur les usines que sur les fichiers
Un fil conducteur permet de comprendre ces échecs répétés : une technologie logicielle n’a pas besoin de cargo pour franchir une frontière. Prenons le cas fictif d’une entreprise européenne de sécurité informatique qui développe un moteur d’analyse offensive. Si la vente directe est bloquée dans un pays, le savoir-faire peut migrer par embauche, sous-traitance, duplication de concepts, publication académique partielle ou implantation à l’étranger. La matière première, ici, c’est la connaissance.
C’est précisément ce qui distingue l’IA avancée des industries classiques. Les poids lourds du secteur dépensent des fortunes en calcul, en données et en talents, ce qui donne l’illusion d’un contrôle centralisé. Mais une fois les méthodes démontrées, l’écosystème entier apprend. Le verrou posé sur un modèle particulier peut ralentir une entreprise donnée ; il ne garantit pas un arrêt durable des capacités comparables ailleurs. La compétition mondiale sur les modèles génératifs le montre déjà avec une intensité remarquable.
Dans le débat actuel, le mot-clé est donc moins interdiction que déplacement. Si un laboratoire américain doit demander une validation gouvernementale avant de servir des clients étrangers, la demande ne s’évapore pas. Elle se déporte vers d’autres fournisseurs, d’autres pays, d’autres architectures de distribution. Une politique pensée pour retenir le risque peut finir par exporter l’avantage économique et technique.
C’est là que l’affaire Mythos cesse d’être un simple incident entre Washington et Anthropic. Elle devient une démonstration grandeur nature de ce qu’un État peut vraiment contrôler à l’ère du code reproductible.
PGP, Mythos et liberté d’information : ce que l’histoire des technologies dit du prochain bras de fer
La comparaison entre PGP et Mythos ne signifie pas que chiffrement et IA offensive sont moralement identiques. Les usages, les risques et les effets de diffusion ne sont pas les mêmes. En revanche, ils partagent un point décisif : ce sont des technologies duales, capables de protéger autant que d’attaquer selon la main qui les utilise. C’est justement ce caractère ambivalent qui pousse les gouvernements à vouloir intervenir, souvent avec des outils hérités d’un monde matériel plus facile à fermer.
Anthropic avait vendu Mythos comme une machine de fin du monde numérique tout en expliquant qu’un accès limité pouvait aider les défenseurs à corriger leurs systèmes avant l’arrivée d’adversaires équipés des mêmes capacités. Cette logique n’est pas absurde. Elle rappelle d’ailleurs un principe bien connu en sécurité informatique : mieux vaut tester les digues avant la crue. Le paradoxe, c’est qu’une interdiction soudaine peut aussi priver les équipes défensives d’un levier de préparation, sans empêcher les concurrents étrangers de progresser par d’autres voies.
Un autre angle mérite l’attention : la liberté d’information. À chaque grande bataille sur le code, la même tension revient. Faut-il traiter une capacité logicielle comme une marchandise stratégique, ou reconnaître qu’elle circule aussi comme forme de savoir, de recherche et d’expression technique ? Dans les années 1990, cette question a explosé avec les Crypto Wars. En 2026, elle ressurgit sous un autre costume, plus spectaculaire, plus commercial, mais pas si différent sur le fond.
Le vrai risque politique : freiner les acteurs visibles sans arrêter les autres
Deux scénarios se dessinent. Le premier verrait l’administration américaine assouplir sa position afin de préserver la compétitivité mondiale des laboratoires nationaux. Ce serait, en creux, admettre qu’aucune puissance ne peut durablement monopoliser des capacités logicielles aussi désirées. Le second installerait une forme d’autorisation préalable pour les clients étrangers, transformant l’exportation numérique de modèles avancés en parcours réglementaire lourd, coûteux et lent.
Le danger du second scénario n’est pas seulement comptable. Il tient au fait qu’il frapperait d’abord les acteurs les plus visibles, ceux qui coopèrent, documentent, journalisent et acceptent des audits. Pendant ce temps, des structures moins transparentes, implantées dans des juridictions plus souples, pourraient avancer avec moins de contraintes. C’est le cœur du problème depuis des décennies : les contrôles à l’exportation capturent souvent mieux les entreprises formelles que les réseaux opportunistes.
Dans cette perspective, l’affaire Mythos a quelque chose de brutalement pédagogique. Elle rappelle que la bonne question n’est pas seulement « peut-on interdire ? », mais « que produit réellement l’interdiction ? ». Si l’histoire de PGP, du spyware et de la réglementation transnationale enseigne quelque chose, c’est que le logiciel échappe rarement longtemps aux frontières qu’on tente de lui imposer. Et quand il finit par passer, il emporte souvent avec lui une leçon politique assez sévère.
