{"id":2479,"date":"2026-03-09T16:14:00","date_gmt":"2026-03-09T15:14:00","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/claude-trouve-des-failles-dans-du-code-apple-ii-vieux-de-40-ans\/"},"modified":"2026-03-09T16:14:00","modified_gmt":"2026-03-09T15:14:00","slug":"claude-trouve-des-failles-dans-du-code-apple-ii-vieux-de-40-ans","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/claude-trouve-des-failles-dans-du-code-apple-ii-vieux-de-40-ans\/","title":{"rendered":"Claude trouve des failles dans du code Apple II vieux de 40 ans"},"content":{"rendered":"

Mark Russinovich, CTO de Microsoft Azure, a donn\u00e9 \u00e0 Claude Opus 4.6 un programme qu’il avait \u00e9crit en assembleur 6502 pour Apple II en mai 1986. L’IA d’Anthropic y a trouv\u00e9 des vuln\u00e9rabilit\u00e9s. Une d\u00e9couverte possible gr\u00e2ce \u00e0 Claude Code Security, un outil qui a d\u00e9j\u00e0 d\u00e9busqu\u00e9 plus de 500 failles dans des projets open source.<\/p>\n

Du code Apple II pass\u00e9 au crible<\/h2>\n

Le programme en question s’appelle Enhancer. C’est un utilitaire \u00e9crit en langage machine 6502 qui ajoutait \u00e0 l’Applesoft BASIC la possibilit\u00e9 d’utiliser des variables ou des expressions comme destination pour les commandes GOTO, GOSUB et RESTORE.<\/p>\n

Claude Opus 4.6 a identifi\u00e9 un comportement silencieux incorrect : quand une ligne de destination n’\u00e9tait pas trouv\u00e9e, le programme pla\u00e7ait le pointeur sur la ligne suivante ou au-del\u00e0 de la fin du programme, au lieu de signaler une erreur. L’IA a m\u00eame sugg\u00e9r\u00e9 le correctif : v\u00e9rifier le carry flag (positionn\u00e9 quand une ligne n’est pas trouv\u00e9e) et rediriger vers un gestionnaire d’erreurs.<\/p>\n

L’anecdote a surtout valeur de d\u00e9monstration. Russinovich l’a partag\u00e9e pour montrer que les mod\u00e8les d’IA sont d\u00e9sormais capables de d\u00e9compiler du code embarqu\u00e9 d\u2019un autre \u00e2ge et d’y rep\u00e9rer des failles, ce qui pose un probl\u00e8me quand on sait que des milliards de microcontr\u00f4leurs tournent dans le monde avec du code qui n’a jamais \u00e9t\u00e9 audit\u00e9.<\/p>\n

Plus de 500 failles dans des projets open source<\/h2>\n

Cette histoire autour de l’Apple II est amusante, mais le vrai sujet est ailleurs. Anthropic a utilis\u00e9 Claude Opus 4.6 pour scanner des bases de code open source en production et a trouv\u00e9 plus de 500 vuln\u00e9rabilit\u00e9s qui avaient \u00e9chapp\u00e9 \u00e0 des ann\u00e9es de revue par des experts humains.<\/p>\n

Parmi les projets touch\u00e9s : GhostScript (traitement PostScript et PDF), OpenSC (utilitaires pour cartes \u00e0 puce), CGIF (traitement d’images GIF) et le noyau Linux. Certaines de ces failles \u00e9taient l\u00e0 depuis des d\u00e9cennies, malgr\u00e9 des millions d’heures de fuzzing accumul\u00e9es sur ces projets.<\/p>\n

C\u00f4t\u00e9 Firefox,
\non vous en a parl\u00e9<\/a>
\n: 22 CVE dont 14 haute gravit\u00e9, trouv\u00e9es en deux semaines seulement.<\/p>\n

On vous en a d\u00e9j\u00e0 parl\u00e9, Anthropic a lanc\u00e9 le 20 f\u00e9vrier Claude Code Security, un outil int\u00e9gr\u00e9 \u00e0 Claude Code sur le web, pour l’instant en acc\u00e8s limit\u00e9. Le principe : l’IA scanne un d\u00e9p\u00f4t de code, identifie les vuln\u00e9rabilit\u00e9s, et propose des correctifs cibl\u00e9s pour validation humaine.<\/p>\n

Contrairement aux outils d’analyse statique classiques qui fonctionnent par pattern matching, Claude lit et raisonne sur le code comme le ferait un chercheur en s\u00e9curit\u00e9, en tra\u00e7ant les flux de donn\u00e9es et en comprenant comment les composants interagissent. Rien n’est appliqu\u00e9 sans validation humaine. L’outil est accessible aux clients Enterprise et Team, et les mainteneurs de projets open source peuvent demander un acc\u00e8s gratuit.<\/p>\n

Tout \u00e7a pour dire que l’image du CTO d’Azure qui ressort son vieux code Apple II et se retrouve avec un rapport de failles, c’est quand m\u00eame franchement rigolo, mais aussi int\u00e9ressant. Mais le fond du sujet est plus s\u00e9rieux : des milliards d’appareils embarqu\u00e9s tournent avec du code ancien que personne n’a jamais audit\u00e9, et l’IA est d\u00e9sormais capable de les passer au peigne fin. Anthropic a quand m\u00eame pr\u00e9venu que cet \u00e9cart entre la capacit\u00e9 \u00e0 trouver les failles et celle de les exploiter ne durera probablement pas \u00e9ternellement. On l\u2019esp\u00e8re.<\/p>\n

Source :
\nThe Register<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Mark Russinovich, CTO de Microsoft Azure, a donn\u00e9 \u00e0 Claude Opus 4.6 un programme qu’il avait \u00e9crit en assembleur 6502 pour Apple II en mai 1986. L’IA d’Anthropic y a trouv\u00e9 des vuln\u00e9rabilit\u00e9s. Une d\u00e9couverte possible gr\u00e2ce \u00e0 Claude Code Security, un outil qui a d\u00e9j\u00e0 d\u00e9busqu\u00e9 plus de 500 failles dans des projets open source. Du code Apple II pass\u00e9 au crible Le programme en question s’appelle Enhancer. C’est un utilitaire \u00e9crit en langage machine 6502 qui ajoutait \u00e0 l’Applesoft BASIC la possibilit\u00e9 d’utiliser des variables ou des expressions comme destination pour les commandes GOTO, GOSUB et RESTORE. Claude Opus 4.6 a identifi\u00e9 un comportement silencieux incorrect : quand une ligne de destination n’\u00e9tait pas trouv\u00e9e, le programme pla\u00e7ait le pointeur sur la ligne suivante ou au-del\u00e0 de la fin du programme, au lieu de signaler une erreur. L’IA a m\u00eame sugg\u00e9r\u00e9 le correctif : v\u00e9rifier le carry flag (positionn\u00e9 quand une ligne n’est pas trouv\u00e9e) et rediriger vers un gestionnaire d’erreurs. L’anecdote a surtout valeur de d\u00e9monstration. Russinovich l’a partag\u00e9e pour montrer que les mod\u00e8les d’IA sont d\u00e9sormais capables de d\u00e9compiler du code embarqu\u00e9 d\u2019un autre \u00e2ge et d’y rep\u00e9rer des failles, ce qui pose un probl\u00e8me quand on sait que des milliards de microcontr\u00f4leurs tournent dans le monde avec du code qui n’a jamais \u00e9t\u00e9 audit\u00e9. Plus de 500 failles dans des projets open source Cette histoire autour de l’Apple II est amusante, mais le vrai sujet est ailleurs. Anthropic a utilis\u00e9 Claude Opus 4.6 pour scanner des bases de code open source en production et a trouv\u00e9 plus de 500 vuln\u00e9rabilit\u00e9s qui avaient \u00e9chapp\u00e9 \u00e0 des ann\u00e9es de revue par des experts humains. Parmi les projets touch\u00e9s : GhostScript (traitement PostScript et PDF), OpenSC (utilitaires pour cartes \u00e0 puce), CGIF (traitement d’images GIF) et le noyau Linux. Certaines de ces failles \u00e9taient l\u00e0 depuis des d\u00e9cennies, malgr\u00e9 des millions d’heures de fuzzing accumul\u00e9es sur ces projets. C\u00f4t\u00e9 Firefox, on vous en a parl\u00e9 : 22 CVE dont 14 haute gravit\u00e9, trouv\u00e9es en deux semaines seulement. On vous en a d\u00e9j\u00e0 parl\u00e9, Anthropic a lanc\u00e9 le 20 f\u00e9vrier Claude Code Security, un outil int\u00e9gr\u00e9 \u00e0 Claude Code sur le web, pour l’instant en acc\u00e8s limit\u00e9. Le principe : l’IA scanne un d\u00e9p\u00f4t de code, identifie les vuln\u00e9rabilit\u00e9s, et propose des correctifs cibl\u00e9s pour validation humaine. Contrairement aux outils d’analyse statique classiques qui fonctionnent par pattern matching, Claude lit et raisonne sur le code comme le ferait un chercheur en s\u00e9curit\u00e9, en tra\u00e7ant les flux de donn\u00e9es et en comprenant comment les composants interagissent. Rien n’est appliqu\u00e9 sans validation humaine. L’outil est accessible aux clients Enterprise et Team, et les mainteneurs de projets open source peuvent demander un acc\u00e8s gratuit. Tout \u00e7a pour dire que l’image du CTO d’Azure qui ressort son vieux code Apple II et se retrouve avec un rapport de failles, c’est quand m\u00eame franchement rigolo, mais aussi int\u00e9ressant. Mais le fond du sujet est plus s\u00e9rieux : des milliards d’appareils embarqu\u00e9s tournent avec du code ancien que personne n’a jamais audit\u00e9, et l’IA est d\u00e9sormais capable de les passer au peigne fin. Anthropic a quand m\u00eame pr\u00e9venu que cet \u00e9cart entre la capacit\u00e9 \u00e0 trouver les failles et celle de les exploiter ne durera probablement pas \u00e9ternellement. On l\u2019esp\u00e8re. Source : The Register<\/p>\n","protected":false},"author":1,"featured_media":2480,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2479","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2479","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2479"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2479\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2480"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2479"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}