Les grands modèles américains tendent vers le confinement, au nom de la sécurité

Auteur: Xiaojing

Éditeur: Xu Qingyang

Le 27 juin au matin, Anthropic a annoncé : le gouvernement américain a approuvé le redéploiement de son modèle de cybersécurité le plus puissant, Mythos 5, dans plus de 100 institutions américaines, incluant de grandes entreprises et des agences gouvernementales. La version publique, Fable 5, sera "bientôt rétablie".

Selon une lettre du secrétaire au Commerce Lutnick adressée au cofondateur d'Anthropic, Tom Brown, obtenue par des médias étrangers, Lutnick a informé Anthropic qu'il avait "déterminé que des mesures de sécurité appropriées étaient en place".

Mais dans la même lettre, Lutnick a indiqué que toutes les autres exigences de l'instruction initiale du 12 juin restaient en vigueur, et n'a fait aucune mention de la date de restauration de Fable 5 pour le public.

Presque simultanément, à l'aube du 27 juin, OpenAI a officiellement publié la série GPT-5.6 composée de trois modèles : Sol, Terra, Luna. Également à la demande de la Maison Blanche, l'accès à l'API de GPT-5.6 n'est ouvert qu'aux "partenaires approuvés par le gouvernement au cas par cas", et il n'est pas encore disponible sur l'interface ChatGPT.

En revenant sur la chronologie : le 2 juin, Trump a signé un décret présidentiel sur l'IA, le 9 juin, Anthropic a publié Fable 5 et Mythos 5, le 12 juin, le ministère du Commerce a ordonné leur retrait complet, le 26 juin, OpenAI a publié GPT-5.6 mais sa distribution a été restreinte, le 27 juin, Mythos 5 a été autorisé à reprendre de façon limitée.

En moins d'un mois, le contrôle gouvernemental américain sur les modèles d'IA de pointe a connu un cycle complet de "suspension-négociation-autorisation sous conditions".

Dean W. Ball (ancien conseiller en IA de la Maison Blanche), responsable de l'équipe stratégique d'OpenAI, a résumé l'impact de cet événement sur l'industrie dans un blog du 16 juin : "Les développeurs de modèles d'IA de pointe ont maintenant besoin d'un 'feu vert' explicite du gouvernement pour publier".

Dean W. Ball a commenté dans un long article du 26 juin, intitulé "What Should Be Done" : "Personne ne sait exactement quelles sont les exigences pour obtenir une licence. Quand je dis 'personne', c'est au sens littéral : il semble que même les agences gouvernementales elles-mêmes ne le sachent pas."

Image :L'article long de Dean W. Ball, What Should Be Done

01 Vraiment trop puissants pour être sûrs ?

C'est la question centrale de toute cette affaire. L'action du gouvernement repose sur une prémisse implicite : les capacités de ces modèles sont déjà si fortes qu'elles constituent un risque de sécurité inacceptable. Mais les évaluations officielles des entreprises concernées elles-mêmes tirent une conclusion totalement opposée.

OpenAI a divulgué les résultats complets de son évaluation de sécurité dans l'article de blog annonçant GPT-5.6. Selon le cadre de préparation qu'OpenAI a lui-même établi et publié publiquement, Sol n'a pas franchi cette ligne. La ligne rouge de ce cadre est définie comme : le modèle peut-il, sans assistance humaine, découvrir et exploiter de manière autonome des vulnérabilités inconnues sur des cibles de grande valeur.

Le résultat spécifique du test est : Sol peut identifier des vulnérabilités et des primitives d'exploitation sur Chromium et Firefox, mais "n'a pas généré de manière autonome une chaîne d'attaque complète et utilisable de bout en bout dans les conditions de test". Le jugement propre d'OpenAI est : Sol est plus doué pour aider les gens à trouver des vulnérabilités et à appliquer des correctifs, que pour exécuter de manière fiable de bout en bout une attaque complète.

Mais OpenAI ajoute immédiatement une phrase "pleine de tact" : "les seuils de référence ne peuvent pas capturer toutes les façons dont un modèle peut être utilisé ou combiné avec d'autres outils." Bien que selon nos normes il n'ait pas franchi la ligne, qui sait comment il pourrait être utilisé dans le monde réel ? Ils ont intentionnellement créé une zone grise ambiguë.

Anthropic n'a pas été aussi "plein de tact". Dans sa déclaration du 13 juin, Anthropic a réfuté point par point les raisons du gouvernement. Le gouvernement a prétendu avoir découvert une méthode de "jailbreak" pour Fable 5. Anthropic a répondu : premièrement, il ne s'agit que d'un "jailbreak non générique à portée étroite", consistant essentiellement à faire lire un morceau de code au modèle puis à lui demander d'en indiquer les défauts ; deuxièmement, "d'autres modèles publics, y compris GPT-5.5 d'OpenAI, peuvent le faire aussi" ; troisièmement, Anthropic a investi des milliers d'heures de tests Red Team, "aucun testeur n'a trouvé de jailbreak générique".

Dans un long article intitulé "Policy on the AI Exponential" publié le 11 juin, le PDG d'Anthropic, Dario Amodei, avait déjà anticipé cette situation, déclarant clairement : "Le gouvernement peut empêcher un déploiement non sécurisé, mais le processus doit être transparent, équitable, clair et basé sur des faits techniques. Cette action ne respecte pas ces principes."

Deux concurrents acharnés, au cours du même mois, utilisant leurs propres systèmes d'évaluation indépendants, sont arrivés à la même conclusion : selon les cadres de sécurité établis par l'industrie, ces modèles ne présentent pas un risque nécessitant leur non-déploiement.

La question se pose alors : si les modèles n'ont pas franchi la ligne rouge de l'industrie, sur quelle base le gouvernement intervient-il ? Dean Ball a en outre révélé : le gouvernement avait précédemment embauché le seul fonctionnaire ayant une expérience en IA de pointe pour diriger le Centre pour les normes et l'innovation en IA (CAISI). Cette personne avait travaillé chez OpenAI et Anthropic, mais a été licenciée par la haute direction quelques jours après sa prise de poste. Le reste de l'équipe du CAISI a été mis en arrêt de travail pendant toute la "période de crise post-Mythos", et n'était même pas autorisé à communiquer avec d'autres agences gouvernementales. "Parmi les responsables du gouvernement Trump que je connais, aucun n'a d'expérience en IA de pointe."

Le sens de Ball est que ceux qui prennent la décision de réglementer n'ont ni défini de normes de sécurité claires, ni évalué les capacités techniques de ces modèles.

La question naturelle qui suit est : Fable 5 et GPT-5.6 Sol ont-ils vraiment franchi une sorte de "point de singularité de menace humaine" ? Existe-t-il une ligne rouge de capacité objective, au-delà de laquelle la réglementation devient nécessaire ?

Plusieurs experts du domaine de l'IA indiquent qu'une telle ligne n'existe pas techniquement. Les capacités des modèles suivent une courbe de croissance continue. Chaque génération de modèle est la "plus puissante de l'histoire" au moment de sa sortie, mais seule celle-ci a déclenché une intervention directe du gouvernement.

Trois conditions implicites se cachent derrière cela :

Premièrement, les capacités sont devenues "démontrables". Anthropic lui-même a présenté Mythos 5 comme le "modèle de cybersécurité le plus puissant au monde", et le cas de Stripe migrant 50 millions de lignes de code en un jour a été largement relayé. Ces histoires permettent même aux politiciens non techniques d'imaginer "et si les méchants l'utilisaient".

Yann LeCun, ancien scientifique en chef de l'IA chez Meta et lauréat du prix Turing, Yann LeCun, avait déjà publiquement souligné cette logique dès novembre 2025 : lorsque Anthropic a publié son premier rapport sur les menaces d'attaques réseau par IA, LeCun l'a directement qualifié de "théâtre réglementaire", accusant Anthropic d'utiliser la peur de la sécurité de l'IA pour "manipuler les législateurs" et procéder à une "capture réglementaire".

Le jugement de LeCun à l'époque était : les entreprises propriétaires (à code fermé) exagèrent systématiquement les menaces à la sécurité de l'IA dans le but d'établir des barrières réglementaires que seules les grandes entreprises peuvent franchir, excluant ainsi les concurrents open source. Ce qu'Anthropic n'avait pas prévu, c'est que la pierre lui serait d'abord revenue dessus.

Deuxièmement, quelqu'un a fourni une arme. Andy Jassy, PDG d'Amazon, a soumis au gouvernement un rapport sur les risques de sécurité des modèles d'Anthropic. Amazon est le plus grand investisseur d'Anthropic, son partenaire de services cloud, et développe également ses propres modèles (série Nova) en concurrence avec Anthropic. Ainsi, le gouvernement a obtenu une source de légitimité pour son action.

Troisièmement, Trump venait tout juste de signer un décret présidentiel sur l'IA au début du mois, donnant au gouvernement 60 jours pour établir des "règles de soumission volontaire" pour les modèles de pointe. Le décret avait besoin d'un premier cas d'application pour prouver qu'il n'était pas un chiffon de papier. Fable 5 est arrivé au mauvais moment.

Cela soulève une question plus profonde : si "trop puissant signifie réglementé", et que "la définition de 'trop puissant'" relève des autorités de régulation, avec des standards non publics, sans seuil clair, sans procédure de recours, alors chaque future publication de modèle de pointe sera confrontée à la même incertitude. Les entreprises ne sauront pas quand leur modèle déclenchera une réglementation.

Image générée par IA

02 Leçon de l'histoire, la guerre du chiffrement il y a 30 ans

La tentative du gouvernement américain d'utiliser les contrôles à l'exportation pour contenir la diffusion de technologies soi-disant dangereuses rappelle un précédent historique très similaire : la "Guerre du chiffrement" (Crypto Wars) des années 90.

Après la guerre froide, Internet a commencé à se commercialiser et les informaticiens développaient des technologies de chiffrement pour protéger la sécurité des transmissions de données. Le gouvernement américain a classé les algorithmes de chiffrement forts comme des "munitions", les plaçant sur la même liste de contrôle des exportations (ITAR/EAR) que les missiles et les chars. La logique était très similaire à aujourd'hui : si l'ennemi obtenait un chiffrement fort, la NSA (Agence de sécurité nationale) ne pourrait pas intercepter leurs communications, menaçant ainsi la sécurité nationale.

Cela signifiait que les entreprises américaines de logiciels ne pouvaient exporter à leurs clients étrangers que des versions faibles du chiffrement à 40 bits, que la NSA pouvait facilement casser, tandis que la version domestique pouvait utiliser un chiffrement fort à 128 bits. Les utilisateurs étrangers, sachant qu'ils recevaient une "version castrée", se sont tournés vers des produits alternatifs européens et israéliens.

En 1991, un passionné de cryptographie nommé Phil Zimmermann a écrit PGP (Pretty Good Privacy), un logiciel permettant aux gens ordinaires d'utiliser un chiffrement fort pour protéger leurs emails. Il a mis PGP en ligne sur Internet. Les douanes américaines ont immédiatement ouvert une enquête criminelle contre lui - l'accusation étant "exportation illégale de munitions".

La contre-attaque de Zimmermann fut extrêmement ingénieuse : il a imprimé le code source complet de PGP sous forme de livre et l'a publié. Les livres sont protégés par le Premier Amendement, la liberté de publication est un droit constitutionnel. Vous pouvez réglementer un logiciel, mais vous ne pouvez pas interdire l'exportation d'un livre. L'enquête a duré trois ans et s'est finalement close en 1996, le gouvernement n'ayant pas engagé de poursuites.

Presqu'au même moment, la NSA a proposé un plan encore plus radical : la puce Clipper. L'idée était que tous les appareils de communication devaient installer cette puce, qui chiffrerait les communications, avec un mécanisme intégré de dépôt de clés (key escrow) permettant au gouvernement, sous mandat judiciaire, de déchiffrer les communications via ces clés déposées. Les communications entre utilisateurs étaient chiffrées pour les tiers, mais le gouvernement pouvait les déchiffrer à tout moment. L'administration Clinton a poussé ce plan avec force. Résultat, le monde universitaire a découvert des défauts de conception dans la puce, l'industrie technologique a résisté collectivement, le public s'est vivement opposé, et le projet est mort définitivement en 1996.

En 1995, le mathématicien Daniel Bernstein a voulu publier en ligne le code source d'un algorithme de chiffrement qu'il avait écrit, mais le gouvernement l'a interdit au motif du contrôle des exportations. Il a poursuivi le ministère de la Justice. La Cour d'appel du neuvième circuit a rendu un jugement aux conséquences profondes : le code source d'un logiciel est un "discours" (speech) protégé par le Premier Amendement, et le contrôle des exportations du code de chiffrement par le gouvernement est inconstitutionnel. Ce jugement a directement ébranlé les bases juridiques de tout le système de contrôle.

En janvier 2000, l'administration Clinton a considérablement assoupli les contrôles à l'exportation du chiffrement. La raison était simple : le contrôle était devenu impossible. PGP s'était déjà répandu dans le monde entier, les algorithmes de chiffrement open source étaient devenus omniprésents, et le contrôle ne faisait qu'entraver la compétitivité des entreprises américaines, les clients étrangers s'étant déjà tournés vers d'autres fournisseurs.

C'est après l'assouplissement des contrôles qu'ont pu exister le chiffrement de bout en bout de Signal et WhatsApp d'aujourd'hui. Si les contrôles des années 90 s'étaient perpétués jusqu'à aujourd'hui, ces produits n'auraient jamais vu le jour.

Dans les années 90, ce qui était contrôlé, c'étaient les algorithmes de chiffrement forts, la raison invoquée était la sécurité nationale, l'outil était le contrôle des exportations de munitions ITAR, ceux qui en souffraient étaient les entreprises américaines de logiciels (obligées d'exporter des versions faibles), et ceux qui n'étaient pas affectés étaient les développeurs étrangers (écrivant leurs propres algorithmes de chiffrement).

En 2026, ce qui est contrôlé, ce sont les capacités des modèles d'IA de pointe, la raison invoquée est toujours la sécurité nationale, l'outil est l'instruction de contrôle des exportations.

Qui sera vraiment blessé cette fois ?

Des commentaires des médias étrangers soulignent : "Personne ne dépense 100 milliards de dollars pour construire un centre de données, uniquement pour servir 100 entreprises approuvées par le gouvernement".

Le coût d'entraînement des modèles de pointe se chiffre en milliards de dollars, et la fenêtre pour récupérer ces coûts n'est que de quelques mois après la publication. Ensuite, le modèle devient obsolète, la concurrence s'intensifie, les marges se compressent. Chaque semaine de retard dans l'approbation grignote cette fenêtre de profitabilité limitée. La conclusion de Brandon est : "Si cela continue, la logique d'investissement de base de toute l'industrie sera ébranlée."

Le point central de Jeffrey Ding, professeur adjoint de sciences politiques à l'Université George Washington, est : dans la compétition technologique entre grandes puissances, ce qui détermine le vainqueur n'est pas qui invente en premier une technologie, mais qui peut diffuser la technologie plus rapidement dans toute son économie. C'est particulièrement vrai pour les technologies à usage général (General Purpose Technologies) – elles nécessitent une large diffusion sociale, elles nécessitent que de nouvelles organisations soient créées autour d'elles, elles nécessitent des données d'utilisation à grande échelle dans le monde réel pour découvrir leurs limites d'application. Dean Ball, en citant Ding, écrit : "Les usages des technologies à usage général sont découverts, ils ne sont pas connus à l'avance."

Mais de l'autre côté de l'océan, les grands modèles chinois adoptent une posture open source et ouverte envers les développeurs du monde entier.

Les algorithmes de chiffrement sont des mathématiques pures, une fois publiés, ils ne peuvent être récupérés. Les poids des modèles d'IA ont une propriété similaire, mais les capacités d'inférence des modèles de pointe propriétaires sont effectivement concentrées derrière les API de quelques entreprises.

Mais les capacités des modèles open source rattrapent progressivement chaque génération. Le contrôle peut ralentir la diffusion, il ne peut pas l'arrêter. Dans les années 90, il a fallu près de 10 ans pour en arriver à la phase d'"abandon et assouplissement du contrôle". Le contrôle de l'IA nécessitera-t-il un cycle temporel similaire ?

03 Les grands modèles américains entrent-ils dans l'ère de la censure ?

Juin 2026 pourrait marquer, dans l'histoire de l'industrie de l'IA, un point d'inflexion : pour la première fois, le gouvernement a réussi à s'insérer en tant qu'autorité d'approbation entre un modèle d'IA commercial et ses utilisateurs.

Dans "What Should Be Done", Dean Ball met en garde : si le marché panique à ce sujet, l'effet dépassera largement le secteur de l'IA lui-même : "Une grande partie des investissements dans la réindustrialisation américaine, du nucléaire au gaz naturel en passant par l'électronique de puissance, dépend explicitement ou implicitement des futurs besoins de l'industrie de l'IA. Si cette demande ne peut se matérialiser en raison des contrôles gouvernementaux, les réactions en chaîne dépasseront ce que les gens imaginent."

Mais Ball admet aussi que la direction n'est pas entièrement erronée : "L'IA de pointe présente effectivement un risque potentiel de catastrophe, cette préoccupation n'est pas forgée de toutes pièces. Le problème réside dans le mode d'exécution, un processus d'approbation sans experts techniques, sans normes claires, sans calendrier, n'est pas la solution."

OpenAI affirme que les restrictions sur GPT-5.6 sont une "mesure temporaire", et qu'il pourrait être ouvert au public dans quelques semaines. Mais la "reprise limitée" de Mythos 5 le 27 juin a déjà fourni un modèle : pas de réouverture complète, mais uniquement pour certaines institutions américaines, les autres restrictions restant en vigueur. Chaque régime à long terme a d'abord été appelé "mesure temporaire".

Dean Ball a écrit une dernière phrase, qui mérite d'être prise au sérieux par tous : "Si seules quelques personnes peuvent utiliser l'IA de pointe, un avenir mauvais devient plus probable. Parce que ces quelques personnes sont souvent celles qui possèdent déjà un énorme pouvoir économique et politique".

On peut estimer que les communautés de développeurs du monde entier regrettent l'époque où ils attendaient les annonces d'OpenAI sans se soucier du décalage horaire, s'émerveillaient des progrès des nouveaux modèles et passaient la nuit à tester divers nouveaux scénarios.

Cependant, nous pouvons toujours attendre avec impatience la sortie des derniers grands modèles chinois.