Le NHS England retire ses logiciels accessibles au public en raison des inquiétudes liées aux modèles d'IA capables de piratage. Cette décision marque un revirement par rapport aux politiques d'open-source de longue date appliquées au code financé par les contribuables. Des experts en sécurité qualifient cette mesure d'inutile et de contre-productive.
Le NHS England a publié de nouvelles directives exigeant que tous les dépôts de code source soient désormais privés par défaut. Cette politique impose que les logiciels actuels et futurs soient maintenus à l'abri, sauf approbation explicite pour un accès public. Le personnel dispose d'un délai jusqu'au 11 mai pour privatiser le code qui, auparavant, était partagé ouvertement sur des plateformes comme GitHub car il avait été créé avec des fonds publics. Cela permettait à d'autres organisations de le réutiliser et d'éviter de dupliquer les efforts, conformément aux normes de service antérieures du NHS. La directive cite les avancées rapides de l'IA, et plus précisément le modèle Mythos d'Anthropic, comme élément déclencheur. Le mois dernier, Mythos a attiré l'attention pour sa capacité à découvrir des failles dans des logiciels, permettant potentiellement à des pirates d'exploiter les systèmes. Le document avertit que les dépôts publics augmentent les risques de divulgation de détails du code que l'IA pourrait analyser et exploiter. « Les dépôts publics augmentent considérablement le risque de divulgation involontaire de code source... compte tenu notamment des progrès rapides des modèles d'IA... (par exemple, des développements tels que le modèle Mythos) », précise le texte. Une posture fermée par défaut sera maintenue le temps d'évaluer les impacts. Cependant, l'AI Security Institute (AISI), soutenu par le gouvernement britannique, a constaté que Mythos n'était capable d'attaquer que des systèmes de petite taille et faiblement protégés, ne représentant aucune menace pour les logiciels ou réseaux sécurisés. Terence Eden, ancien expert du service civil britannique sur l'accès aux données publiques, a critiqué cette politique, la jugeant illogique. « Est-il possible que Mythos scanne un dépôt et trouve un bug ? Oui, c'est fort probable. S'agira-t-il d'un bug provoquant un problème de sécurité dans un service actif du NHS ? Presque certainement pas », a déclaré Eden. Il a soutenu que le code open-source est plus sécurisé grâce à l'examen de la communauté et a noté que le code du NHS, déjà public depuis des années, existe dans de nombreuses sauvegardes. « Le fermer maintenant, c'est un peu comme fermer la porte de l'écurie une fois que le cheval s'est échappé », a-t-il ajouté. Un porte-parole du NHS England a expliqué : « Nous restreignons temporairement l'accès à certains codes sources du NHS England afin de renforcer davantage la cyber-sécurité pendant que nous évaluons l'impact des développements rapides dans les modèles d'IA. Nous continuerons à publier le code source lorsqu'un besoin clair sera identifié. »
