Google affirme avoir déjoué ce qu’il présente comme la première cyberattaque de grande ampleur développée à l’aide d’une intelligence artificielle générative pour exploiter une faille zero-day. L’alerte a été révélée par le Google Threat Intelligence Group (GTIG), l’unité spécialisée du géant américain dans l’analyse des cybermenaces.
Selon les chercheurs de Google, des cybercriminels ont utilisé un modèle d’IA afin de découvrir puis coder un exploit visant une vulnérabilité inconnue dans un outil d’administration système open source largement utilisé. La faille permettait de contourner l’authentification à deux facteurs (2FA), pourtant considérée comme l’un des principaux remparts contre les intrusions informatiques.
L’attaque nécessitait toutefois des identifiants valides pour fonctionner. Une fois cette première étape franchie, le mécanisme de double authentification pouvait être neutralisé automatiquement, ouvrant potentiellement la voie à des prises de contrôle de serveurs à grande échelle.
Google explique avoir détecté l’opération avant son déploiement massif et coordonné discrètement un correctif avec l’éditeur concerné, dont l’identité n’a pas été dévoilée pour des raisons de sécurité. L’entreprise assure également que son modèle Gemini n’a pas été utilisé dans cette opération.
Ce qui a particulièrement retenu l’attention des analystes du GTIG, c’est la structure du code malveillant. Le script Python présentait des caractéristiques rarement observées dans des outils développés manuellement par des cybercriminels expérimentés : documentation extrêmement détaillée, commentaires pédagogiques, organisation très académique du code et présence d’un faux score CVSS, le système international servant à mesurer la gravité des vulnérabilités informatiques.
Pour les chercheurs, ce dernier élément constitue un indice fort de l’utilisation d’un grand modèle de langage. Les systèmes d’IA générative sont connus pour produire occasionnellement des informations erronées avec une apparente assurance, un phénomène souvent qualifié “d’hallucination” dans le secteur technologique.
John Hultquist, analyste principal du GTIG, estime que cette affaire marque une nouvelle étape dans l’évolution des cybermenaces. Selon lui, les modèles d’intelligence artificielle deviennent particulièrement efficaces pour identifier des failles logiques complexes que les outils classiques de cybersécurité peinent encore à repérer.
Le rapport de Google souligne également que plusieurs groupes liés à des États expérimentent déjà activement l’IA dans leurs opérations offensives. Des acteurs associés à la Corée du Nord utiliseraient des modèles génératifs pour tester des milliers d’exploits à grande vitesse, tandis que des opérateurs liés à la Chine chercheraient à automatiser la découverte de vulnérabilités.
Les chercheurs évoquent aussi l’apparition de nouveaux malwares Android capables d’interagir directement avec des assistants IA afin d’adapter leurs actions en temps réel sur les appareils infectés. Dans le domaine de la désinformation, certaines opérations russes intégreraient déjà des contenus audio générés artificiellement à de véritables images d’actualité pour renforcer leur crédibilité.
Face à cette montée en puissance des attaques assistées par IA, les grandes entreprises technologiques accélèrent elles aussi le développement de systèmes défensifs automatisés. Google affirme notamment utiliser “Big Sleep”, un agent d’intelligence artificielle conçu pour détecter des failles zero-day avant leur exploitation, ainsi que “CodeMender”, un outil capable de proposer des correctifs automatisés.
Cette évolution inquiète particulièrement le secteur des cryptomonnaies et de la blockchain. Plusieurs études récentes montrent que les agents IA deviennent capables d’analyser et d’exploiter des smart contracts avec une rapidité inédite. Les plateformes d’échange et les acteurs de la cybersécurité multiplient désormais les investissements dans des outils de protection alimentés par intelligence artificielle.
L’affaire révélée par Google illustre surtout l’accélération d’une course technologique où attaquants et défenseurs utilisent désormais les mêmes armes. Pour les experts, les futures cyberattaques zero-day pourraient être conçues, testées et lancées presque entièrement par des systèmes autonomes, avec une intervention humaine de plus en plus limitée.


