Google a déclaré lundi avoir déjoué une opération de cybercriminalité utilisant ce que l'entreprise considère comme le premier exploit zero-day développé avec l'intelligence artificielle, une étape importante qui, selon les experts en sécurité, allait considérablement aggraver le paysage des cybermenaces pour les entreprises.
« C'est ici », a déclaré John Hultquist, analyste en chef de Mandiant, la branche de renseignement sur les menaces de Google, dans un rapport. « L'ère de la vulnérabilité et de l'exploitation pilotées par l'IA est déjà là. L'IA va être un avantage énorme parce qu'ils peuvent agir beaucoup plus vite. »
L'exploit, implémenté sous forme de script Python, visait une vulnérabilité auparavant inconnue dans un outil d'administration web open-source populaire, permettant à un attaquant de contourner l'authentification à deux facteurs (2FA). Bien que l'outil spécifique et l'acteur de la menace n'aient pas été nommés, Google a déclaré avoir une « grande confiance » dans le fait qu'un modèle d'IA a été utilisé pour créer le code de l'exploit.
Cette découverte marque un tournant décisif, faisant passer l'utilisation de l'IA dans les cyberattaques d'un danger théorique à une réalité confirmée. Ce développement pourrait forcer une réévaluation globale des postures de sécurité dans toutes les industries, car les modèles d'IA peuvent réduire considérablement le temps et les compétences requis pour découvrir et militariser les vulnérabilités logicielles.
Les caractéristiques de l'IA dans le code malveillant
La confiance de Google dans les origines de l'exploit liées à l'IA provient du code lui-même. L'entreprise a noté que le script Python contenait une abondance de docstrings pédagogiques, un score CVSS « halluciné » et un format structuré, type manuel scolaire, très caractéristique des données utilisées pour entraîner les grands modèles de langage (LLM).
La vulnérabilité elle-même était une faille de logique sémantique de haut niveau résultant d'une supposition de confiance codée en dur, un type d'erreur que les LLM, entraînés sur de vastes bases de code, sont particulièrement aptes à identifier.
Les acteurs étatiques adoptent l'IA
Le rapport a également souligné que les cybercriminels motivés par l'argent ne sont pas les seuls à utiliser l'IA. Les équipes de renseignement de Google ont observé des groupes parrainés par l'État de Chine et de Corée du Nord utilisant activement des LLM pour améliorer leurs capacités offensives.
Un acteur lié à la Chine, UNC2814, a été observé utilisant des jailbreaks basés sur des personas — demandant à une IA d'agir comme un expert en sécurité — pour l'aider dans ses recherches sur les vulnérabilités des firmwares TP-Link. Un groupe nord-coréen suivi sous le nom d'APT45 aurait envoyé des milliers de requêtes répétitives pour analyser de manière récursive des vulnérabilités connues et valider des exploits de preuve de concept, constituant ainsi un arsenal plus robuste qu'il ne serait possible sans l'aide de l'IA.
Une nouvelle course aux armements en cybersécurité
L'incident souligne la nature à double usage de l'IA avancée. Alors que les acteurs de la menace l'utilisent pour accélérer les attaques, la même technologie est positionnée comme un outil défensif critique. Des entreprises comme Anthropic et OpenAI développent des modèles d'IA spécialisés destinés à aider les défenseurs à trouver et à corriger les vulnérabilités de leurs propres systèmes.
Cela crée un nouveau front dans la course aux armements de la cybersécurité, opposant des attaquants propulsés par l'IA à des défenseurs propulsés par l'IA. Pour l'instant, les experts prévoient une « période de transition » où les risques de cybersécurité augmenteront considérablement alors que les entreprises s'efforcent de s'adapter à un monde où leurs logiciels peuvent être sondés pour détecter des faiblesses à une échelle et une vitesse sans précédent.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
