On savait que des groupes de hackers se servaient de l’IA pour le phishing ou la reconnaissance des proies. On franchit aujourd’hui un palier. Lundi, le Google Threat Intelligence Group a révélé qu’un groupe cybercriminel avait vraisemblablement utilisé un modèle d’IA pour découvrir une faille inédite et produire le code d’exploitation. Un vrai zero-day, pensé pour une opération à grande échelle.
Comment Google a-t-il identifié la patte de l’IA ?
Le script Python récupéré par Google présentait des indices révélateurs.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
- Des commentaires pédagogiques anormalement détaillés.
- Un score de gravité CVSS inventé par le modèle.
- Une structure de code propre et académique qu’un pirate n’adopte jamais dans un outil offensif.
Google précise que son propre modèle Gemini n’a pas été impliqué. Toutefois, l’entreprise estime avec un haut degré de confiance qu’un modèle de langage a servi à repérer la vulnérabilité et à fabriquer l’exploit. La faille reposait sur une erreur de logique sémantique, une hypothèse de confiance codée en dur dans le système visé. C’est exactement le type de défaut que les LLM excellent à détecter, parce qu’ils raisonnent sur toute la structure du code plutôt que sur les lignes individuelles.
Ce n’est pas un cas isolé !
Des groupes liés à la Chine et à la Corée du Nord exploitent activement l’IA pour accélérer leur recherche de vulnérabilités. Le groupe chinois UNC2814 demandait à Gemini de jouer le rôle d’un expert en sécurité réseau pour analyser des firmwares TP-Link. Le nord-coréen APT45 a bombardé un modèle d’IA de milliers de prompts pour valider des exploits existants et en dériver de nouveaux.
Google a aussi détecté PromptSpy, un malware Android qui détourne Gemini pour naviguer dans le téléphone de manière autonome, capturer les gestes biométriques et bloquer sa propre désinstallation avec un calque invisible sur le bouton Supprimer.
La fenêtre se réduit pour les défenseurs
Ryan Dewhurst, responsable du renseignement sur les menaces chez watchTowr, précise que l‘IA compresse les délais entre la découverte d’une faille, sa transformation en arme et son exploitation. Ce qui prenait des semaines à un groupe de hackers peut désormais se faire en quelques heures avec le bon modèle et les bons prompts.
Tant que l’IA restait cantonnée au phishing et à l’ingénierie sociale, on pouvait relativiser. Un zero-day produit par un LLM et déployé pour une exploitation de masse, ça change la donne.