Le 12 juin, une directive du Department of Commerce américain a contraint Anthropic à suspendre mondialement l'accès à Fable 5 et Mythos 5. La cause : un prompt de trois mots. La réponse : plus de 120 experts en cybersécurité réunis en 24 heures pour dénoncer une mesure qui, selon eux, désarme les défenseurs sans gêner les attaquants.
Le 12 juin 2026, le Bureau of Industry and Security, rattaché au Department of Commerce du secrétaire Howard Lutnick, a adressé à Anthropic une directive portant sur Fable 5 et Mythos 5, deux modèles récemment lancés par le laboratoire. La directive interdisait tout accès à ces modèles pour des ressortissants étrangers, y compris des employés d'Anthropic travaillant sur le sol américain. Reçue à 17h21, heure de la côte Est, elle a conduit le laboratoire à couper l'accès mondial en quelques heures pour assurer la conformité. La directive elle-même n'a pas été rendue publique.
Comment un simple « répare ce code » a déclenché une directive d'État
À l'origine de cette décision se trouve une série de tests menés par des chercheurs d'Amazon, l'un des partenaires financiers et techniques majeurs d'Anthropic. La méthode employée n'avait rien d'un jailbreak au sens habituel du terme : les chercheurs avaient simplement demandé au modèle de « corriger » du code vulnérable, plutôt que d'en « analyser les failles ». En répondant à la demande de correction, Fable 5 produisait des patches, ce qui suppose d'avoir d'abord identifié les vulnérabilités sous-jacentes. Selon des informations rapportées par Axios et Fortune, le PDG d'Amazon Andy Jassy a transmis ces résultats à de hauts responsables américains, dont le secrétaire au Trésor Scott Bessent. Katie Moussouris, fondatrice de Luta Security et seule experte extérieure à avoir pu consulter le rapport, a résumé la situation sans détour : « C'est du Defense Oriented Prompting. Ce n'est pas un jailbreak. »
- Upload de fichiers pouvant aller jusqu'à 100 000 tokens (75 000 mots environ)
- Personnalisation avancée
- Conception éthique
Anthropic a publiquement contesté le caractère unique de la capacité incriminée. Selon le laboratoire, d'autres modèles disponibles sans restriction (dont GPT-5.5 d'OpenAI, Claude Opus 4.8 et Kimi K2.7 du laboratoire chinois Moonshot AI) produisent des résultats comparables sans nécessiter la moindre manipulation. En quelques heures, une directive non publiée avait donc contraint le laboratoire à couper un accès mondial sur la base d'une capacité que la concurrence, chinoise incluse, détient librement.
Une réunion entre l'équipe technique d'Anthropic et le Commerce Department s'est tenue à Washington le 15 juin. Au 16 juin, aucun résultat public n'avait été communiqué. Fable 5 et Mythos 5 restaient suspendus, Claude Opus 4.8 non concerné par la directive étant maintenu en ligne.
Les défenseurs privés d'un outil, les attaquants prévenus à l'avance
C'est précisément ce paradoxe que plus de 120 experts en cybersécurité ont formalisé dans une lettre ouverte publiée le 14 juin sur freefable.org, adressée à Howard Lutnick et au National Cyber Director Sean Cairncross. La lettre, initiée par Alex Stamos (ancien CSO de Facebook et Yahoo), avait dépassé les 80 signatures à sa publication et en comptait plus de 120 le lendemain (le compteur restant ouvert au moment où ces lignes sont écrites). Parmi les signataires : Katie Moussouris (Luta Security), Joe Levy (CEO de Sophos), Sandra McLeod (CISO de Zoom), Chris Wysopal (Veracode) et Casey Ellis (Bugcrowd). La lettre soutient que les contrôles à l'export ont retiré un outil de patch à des équipes de défense sans en priver le moindre attaquant, qui s'approvisionne sur un marché de modèles d'IA autrement plus large et accessible.
Côté chinois, la réponse n'a pas tardé non plus. Le laboratoire Zhipu AI a lancé son modèle GLM-5.2 dès le 13 juin en citant explicitement l'épisode. Moonshot AI a publié le même jour une mise à jour de Kimi K2.7-Code, revendiquant des gains de 21,8 % sur ses benchmarks de code. La directive américaine a juste sorti le concurrent le plus prometteur au lieu de ralentir la course. Dario Amodei, PDG d'Anthropic, a lui-même soutenu que d'autres modèles librement disponibles répliquent les mêmes capacités, et que la mesure affaiblit davantage les défenseurs que leurs adversaires.
Ce que ça change pour l'Europe, et pourquoi la question dépasse le droit américain
Pour les développeurs et entreprises françaises, Fable 5 et Mythos 5 étaient de toute façon inaccessibles depuis la suspension. Mais l'épisode illustre un risque structurel que l'Union européenne observe depuis une position confortable, et pas particulièrement glorieuse.
L'AI Act soumet, depuis le 2 août 2025, les modèles GPAI (IA à usage généraliste chez nous) à risque systémique à des obligations de transparence et de cybersécurité documentées. Anthropic a signé le GPAI Code of Practice en juillet 2025, aux côtés d'OpenAI, Google, Microsoft et Mistral. Le cadre européen aborde le même enjeu (la sécurité des modèles d'IA avancés) par un processus public, contradictoire, avec des délais annoncés et des obligations publiées. Washington a tranché en deux heures sur la base d'une directive dont le contenu reste confidentiel.
La question qui se pose n'est pas tant de savoir si la décision américaine était fondée sur le plan de la sécurité nationale (le gouvernement n'ayant pas fourni les éléments pour l'évaluer). Elle est de savoir ce que ça signifie, pour un opérateur européen, de s'appuyer intégralement sur un fournisseur d'IA dont l'accès peut être suspendu mondialement en deux heures, sur décision administrative, sans préavis ni recours immédiat.
Pour les équipes de cyberdéfense françaises ou européennes qui comptaient sur Fable 5, la leçon est simple : la souveraineté numérique, ça ne se délègue pas à un fournisseur dont le gouvernement peut couper l'accès en deux heures sans explication.
