Le Threat Intelligence Group de Google a surpris un groupe de hackers criminels utilisant un hack zero-day conçu par IA, en action pour la première fois en conditions réelles, neutralisant ainsi une attaque de masse avant qu’elle ne soit déclenchée.
Cette découverte s’inscrit dans un rapport plus large montrant que les attaquants intègrent désormais les grands modèles de langage à chaque étape de leur intrusion. Les défenseurs s’empressent de déployer leurs propres outils d’IA pour livrer bataille sur le même terrain.
Comment a fonctionné le hack zero-day ?
Le code malveillant, écrit en Python, a contourné l’authentification à deux facteurs (2FA) sur un célèbre outil d’administration système open source. Google n’a pas communiqué l’identité de l’éditeur concerné.
Suivez-nous sur X pour recevoir toute l’actualité en temps réel
Plusieurs éléments laissaient penser à une création par un grand modèle de langage. Le script contenait des blocs de documentation de type didactique ainsi qu’un score CVSS (Common Vulnerability Scoring System) fabriqué de toutes pièces, un indicateur qu’aucun chercheur humain n’inventerait.
Google a précisé que son propre modèle Gemini n’avait pas été utilisé. John Hultquist, analyste en chef du GTIG, a averti que des intrusions plus discrètes, assistées par l’IA, pourraient déjà être en cours sans avoir été détectées.
« Chaque nouvelle génération de modèles réduira le besoin de dispositifs développés par des experts, mais il y en a très probablement déjà qui circulent. Nous devons reconnaître les limites de notre capacité à voir ce qui se passe en coulisses chez les espions et les criminels. Les signaux ne seront pas évidents. La course est déjà lancée », a-t-il déclaré.
La riposte des défenseurs
Le même rapport signalait les familles de malwares liées à la Russie PROMPTFLUX et PROMPTSPY, un cheval de Troie Android qui communique en temps réel avec Gemini pour planifier ses prochaines actions.
Des opérations d’État chinoises et nord-coréennes entraînent des modèles privés sur un ensemble de données comprenant 85 000 vulnérabilités.
Google a répliqué avec Big Sleep, un agent d’IA conçu pour traquer les zero-days avant que les attaquants ne puissent les exploiter, ainsi qu’avec CodeMender, un système automatisé de correction. Big Sleep a déjà refermé une faille que des hackers envisageaient de transformer en arme.
Pourquoi la crypto doit rester sur ses gardes
L’écart entre l’attaque et la défense se creuse. Binance Research a révélé récemment que les agents IA exploitent les smart contracts deux fois plus efficacement qu’ils ne détectent les menaces.
Des précédents articles ont montré comment les outils IA de Google peuvent aider les escrocs à vider des wallets, et une nouvelle faille de Chrome a récemment exposé des clés privées.
Dans ce contexte, les exchanges déploient leurs propres boucliers IA, mais les exigences ne cessent de s’intensifier.
Les deux camps alignant désormais des agents autonomes, le prochain zero-day pourrait émerger d’une machine d’un côté comme de l’autre.
