Le groupe de Threat Intelligence de Google (Threat Intelligence Group, GTIG) a dévoilé le 11 mai le premier cas d’exploitation de zero-day « assistée par un modèle d’IA ». Un groupe de pirates prévoyait de lancer une « exploitation à grande échelle » contre un outil populaire de gestion de sites web open source, dans le but de contourner le mécanisme d’authentification à deux facteurs (2FA) dudit outil. D’après le reportage de CNBC, Google a collaboré avec le fournisseur de l’outil afin de finaliser le correctif avant que l’attaque ne soit officiellement lancée.
L’affaire en elle-même : comment un zero-day a été « fabriqué » par une IA
Après avoir analysé le script d’exploitation Python laissé par les pirates, la GTIG a conclu avec une « très forte conviction » que le script avait été généré avec l’aide d’un modèle d’IA. Les indices sont notamment liés à plusieurs caractéristiques typiques des LLM présentes dans le script :
Beaucoup de docstrings et de commentaires à caractère pédagogique (à l’encontre du style de code généralement plus concis qu’adoptent de vrais pirates)
Une « notation de score CVSS à l’état de hallucination » (un comportement de fabrication fréquente des modèles d’IA)
Un style de programmation Python structuré, façon manuel, avec des explications détaillées dans un menu
Des traces de gabarits « typiques des données d’entraînement LLM », comme des classes de couleurs _C ANSI
Le zero-day relève d’un « défaut logique sémantique de haut niveau », provenant d’une hypothèse de confiance codée en dur (hard-coded trust assumption). Google décrit qu’il s’agit précisément du type de vulnérabilité que les LLM sont le plus doués à creuser lors d’analyses de code. Le chemin d’attaque réel : une fois que les pirates ont obtenu les identifiants légitimes de la victime, ils contournent la 2FA directement via cette vulnérabilité.
Réponse de Google : correctif silencieux avec le fournisseur, attaque non lancée officiellement
Google n’a pas publié le nom du logiciel open source de gestion de sites visé, ni celui du fournisseur de modèles d’IA. Après l’avoir découvert, la GTIG a mené une procédure de « divulgation responsable » avec le fournisseur de maintenance de l’outil, puis a appliqué un correctif silencieux. Google estime que ce traitement a probablement brisé l’élan de l’action avant que le groupe de pirates ne lance officiellement une exploitation à grande échelle.
Google n’a également pas désigné précisément l’attaquant : il ne fait que le décrire comme « acteurs de menaces du cybercrime » (cybercrime threat actors), sans attribuer de contexte à des acteurs d’un pays.
Enjeux pour l’industrie : l’IA x cybersécurité passe à une nouvelle étape
Observation des médias : ce dossier est le premier cas que Google rend public, documentant la « militarisation dans la nature » de modèles d’IA, utilisée pour générer des programmes de découverte et d’exploitation de vulnérabilités. Au cours des six derniers mois, le marché a débattu de savoir si les « capacités de piratage par IA » étaient exagérées : les avis divergent. Les partisans estiment que des LLM open source combinés à des ensembles de données dédiés suffisent à aider à trouver des vulnérabilités ; les opposants soulignent que les scripts d’exploitation de vulnérabilités écrits par des LLM ne fonctionnent le plus souvent pas dans des environnements réels.
Le jugement de la GTIG apporte un point de données concret : un LLM ne se contente pas de trouver des vulnérabilités, il peut aussi écrire un programme « opérationnel » capable de déclencher une exploitation à grande échelle. Le chercheur en sécurité Ryan Dewhurst commente : « L’IA accélère la découverte des vulnérabilités et réduit l’effort nécessaire pour identifier, vérifier et militariser des failles. »
Les événements à suivre incluent notamment : si Google publiera progressivement d’autres cas concrets d’« hackers » assistés par l’IA ; si d’autres sociétés de cybersécurité (Microsoft Defender, CrowdStrike, Mandiant, etc.) formuleront des observations similaires ; et si les fournisseurs de LLM (OpenAI, Anthropic, le propre Google) mettront en place des mécanismes de détection plus stricts pour les demandes d’analyse de vulnérabilités.
Cet article de Google révélant le premier cas de zero-day fabriqué par une IA : des pirates cherchent à contourner la 2FA pour une exploitation à grande échelle, est apparu pour la première fois sur Chain News ABMedia.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
