Google Threat Intelligence Group , le GTIG, a publié ce lundi, Pour la première fois depuis que les chercheurs en sécurité se posent la question, une preuve concrète: des cybercriminels ont utilisé un modèle d’intelligence artificielle pour découvrir et transformer en arme une vulnérabilité informatique inconnue.
C’est quoi au juste ?
Le mécanisme de l’attaque mérite qu’on s’y attarde un peu. Le groupe criminel, dont le nom n’a pas été divulgué, avait dans le viseur un outil d’administration système open source très répandu. Sa cible précise : le système d’authentification à deux facteurs de la plateforme, ce dispositif de sécurité qui demande une confirmation supplémentaire au-delà du simple mot de passe. Le groupe avait réussi à mettre au point un script Python capable de contourner cette protection et il se préparait à le déployer à très grande échelle.
Ce qui trahit l’implication d’une IA dans la conception de ce code, c’est justement la forme du code lui-même. Les chercheurs du GTIG y ont relevé une structure trop soignée, trop didactique, typique de ce que nous sort ChatGPT et Compagnie : des annotations pédagogiques en abondance, un score de gravité halluciné, une organisation en pur style « manuel scolaire ». Autant de marqueurs qui ont convaincu Google d’affirmer avec un niveau de confiance élevé qu’un modèle d’IA avait bien assisté à la fois dans la recherche de la faille et dans sa mise en exploitation.
La société a précisé que ni son propre modèle Gemini ni Mythos, le modèle d’Anthropic récemment restreint en raison de ses capacités offensives jugées trop dangereuses, ne semblent avoir été utilisés dans l’opération.
Une faille d’un type que les outils classiques ne voient pas
La vulnérabilité exploitée ne résultait pas d’un bug ordinaire, du type débordement de mémoire ou erreur de codage visible à l’œil nu. Elle relevait d’une erreur logique sémantique : un développeur avait intégré une exception de confiance codée en dur dans le flux d’authentification, créant ainsi une brèche invisible aux scanners automatisés traditionnels. Ce genre de faille, subtile, contextuelle, ne se détecte que par une analyse approfondie du raisonnement global du code.
C’est là que les grands modèles de langage prennent un avantage décisif sur les outils conventionnels. Là où une analyse automatique cherche des patterns connus, l’IA lit la logique d’ensemble et peut identifier ce qui ne devrait pas être là.
Google a alerté l’éditeur concerné en amont, le temps qu’un correctif soit déployé. Selon les chercheurs, des erreurs dans la mise en œuvre de l’exploit par les attaquants auraient par ailleurs contribué à faire échouer l’opération. Cette fois. Car personne, au GTIG, n’est d’humeur à célébrer.
« La course a déjà commencé »
John Hultquist, analyste en chef du GTIG, est catégorique. « Il y a une idée fausse selon laquelle la course aux vulnérabilités par IA est imminente. La réalité, c’est qu’elle a déjà commencé. Pour chaque zero-day qu’on peut relier à l’IA, il en existe probablement beaucoup d’autres. »
Ce rapport ne se limite d’ailleurs pas à ce seul cas. Le GTIG dresse un tableau plus large et plus préoccupant encore. Des groupes liés à la Corée du Nord, à la Chine et à la Russie ont tous été observés en train d’intégrer l’IA à différentes phases de leurs opérations. Le groupe nord-coréen APT45, a été repéré en train d’envoyer des milliers de requêtes automatisées à des modèles de langage pour analyser des vulnérabilités connues et valider des exploits, construisant méthodiquement un arsenal offensif qu’il serait humainement impraticable de constituer sans assistance automatisée.
Du côté de la Chine, des acteurs liés à l’État ont expérimenté ce qu’on appelle le « persona prompting » : pousser un modèle à jouer le rôle d’un expert en sécurité pour obtenir des analyses de firmwares embarqués ou de protocoles d’administration réseau. En Russie, c’est le code leurre généré par IA qui retient l’attention des chercheurs : des volumes de code inerte mais convaincant, destinés à noyer dans la masse les éléments malveillants d’un logiciel et à tromper les analystes.
Mythos, le modèle trop capable
Ce rapport arrive pile au moment ou Anthropic a pris la décision de ne pas commercialiser son modèle Mythos Preview, jugeant ses capacités en matière de découverte de vulnérabilités trop risquées pour une diffusion grand public. Lors de tests internes, Mythos avait identifié des milliers de failles zero-day dans les principaux systèmes d’exploitation et navigateurs web, certaines vieilles de plus de vingt ans, dont plusieurs n’avaient jamais été détectées malgré des millions de tests effectués par leurs propres concepteurs.
Anthropic a opté pour un accès restreint à une cinquantaine d’organisations de confiance, dont des noms comme Amazon, Microsoft, Apple ou CrowdStrike, chargées de colmater ces brèches en priorité dans le cadre d’un programme baptisé Project Glasswing. Une précaution que les événements décrits par Google viennent valider. Rob Bair, responsable de la politique cyber chez Anthropic, l’avait formulé en ces termes lors d’un événement professionnel à Washington la semaine dernière : le déploiement progressif de ces modèles vise à préserver un « avantage pour les défenseurs », mais cette fenêtre se mesure en mois, pas en années.
La question que tout le monde se pose désormais n’est plus de savoir si l’IA peut servir à pirater des systèmes. Elle l’a déjà fait. La vraie question est de savoir à quelle vitesse les défenseurs sauront rattraper leur retard.