Des chercheurs californiens ont utilisé Claude Mythos Preview pour débusquer une faille qui se cachait depuis 1997. Cette vulnérabilité, baptisée Squidbleed et enregistrée sous le CVE-2026-47729, touche le Squid Proxy. Ce logiciel s’exécute dans des réseaux d’entreprises, dans les établissements scolaires et sur les Wi‑Fi publics du monde entier. En clair, des millions de requêtes y transitent chaque jour.
Dans ce qui suit, vous comprendrez comment fonctionne la faille, pourquoi personne ne l’avait détectée auparavant et ce que cela signifie pour ceux qui écrivent du code en C.
Claude Mythos a déniché ce que trois décennies d’audit avaient laissé passer
Avant tout, il convient de souligner l’ampleur de la prouesse. Le code vulnérable avait déjà traversé près de trente années de révisions, d’audits et de réécritures. Pourtant, le modèle d’Anthropic a signalé le problème presque immédiatement. De plus, il a cité l’énoncé exact du standard C11 qui décrit ce comportement dangereux.
Pour un développeur, ce détail est sans doute le plus provocant. La machine ne se contente pas de deviner. Elle a parcouru le module FTP, saisi la sémantique du langage et indiqué la ligne fautive.
La faille qui dormait dans strchr depuis 1997
Entrons maintenant dans le cœur technique. Squid utilise un segment de code pour interpréter les listes de répertoires sur les serveurs FTP. Lorsque le serveur renvoie une ligne sans nom de fichier, le code commence à lire au-delà de l’espace réservé.
La racine du problème réside dans la fonction strchr du langage C. En cherchant le caractère nul qui termine la chaîne, elle renvoie un pointeur valide vers celui-ci. Par conséquent, elle n’indique pas l’absence de résultat. Le code avance alors au-delà de ce point et continue à lire.
Ce qui suit dans la mémoire peut être n’importe quoi. Comme Squid réutilise des blocs de mémoire sans les nettoyer, ces blocs contiennent des requêtes HTTP d’utilisateurs différents. De cette manière, un attaquant peut récupérer des en-têtes d’authentification, des jetons de session et des clés API qui circulent sur du HTTP standard.
Claude Mythos a lu le code et cité l’énoncé exact du C11
Ici repose la leçon d’ingénierie. La faille est subtile car elle dépend d’un comportement technique plutôt que d’une erreur évidente. Le caractère nul fait partie de la chaîne, après tout. C’est pourquoi peu de réviseurs humains penseraient à tester ce cas précis.
La correction, en revanche, est minimale. Deux lignes suffisent pour vérifier si le pointeur est arrivé à la fin de la chaîne avant d’appeler la fonction. En résumé, trente ans de risque réduits à deux lignes de validation.
Pourquoi votre proxy peut encore laisser fuiter des identifiants aujourd’hui
Passons à l’impact pratique. La faille touche toute installation de Squid disposant du support FTP actif, ce qui correspond justement au comportement par défaut. L’assaillant doit contrôler un serveur FTP accessible via le proxy. Dans des environnements d’entreprise et des systèmes hérités, cela est tout à fait faisable.
En revanche, les connexions HTTPS ordinaires restent exclues. Squid les traite comme des tunnels opaques et n’en lit pas le contenu. Néanmoins, les chercheurs ont même trouvé du Squid fonctionnant sur des réseaux Wi‑Fi à bord d’avions, dans des versions qui avaient près d’une décennie de retard.
Claude Mythos ne s’est pas arrêté au Squid : OpenSSL et HTTP/2 ont également été touchés
Cette affaire n’est pas isolée. La même approche avait déjà mis en évidence une vulnérabilité grave dans OpenSSL. De plus, elle a permis d’identifier une technique de déni de service dans le protocole HTTP/2.
Ainsi, le message destiné à la communauté des développeurs est clair. La révision assistée par IA n’est plus une promesse et devient un outil réel d’audit. Ceux qui maintiennent du code ancien en C disposent désormais d’un allié capable de balayer des décennies d’héritage.
Que faire aujourd’hui pour combler la brèche
Enfin, passons à la partie opérationnelle. La correction a été intégrée dans Squid 8 en avril 2026 et est arrivée à la version 7.6 en juin 2026. Par conséquent, la mise à jour reste la voie principale.
Si vous ne pouvez pas effectuer la mise à jour tout de suite, désactivez le support FTP. Ainsi, la surface d’attaque est totalement éliminée. Étant donné que la majorité des organisations n’utilisent plus FTP de manière légitime, le coût opérationnel est pratiquement nul.
Au final, Squidbleed transmet deux enseignements. Le premier est technique: surveillez la sémantique des fonctions de chaîne en C. Le second est stratégique: l’IA lit désormais votre code mieux que trois décennies de révisions humaines.
