Google affirme avoir neutralisé une campagne de cyberattaque qui s’appuyait sur une faille zero-day probablement développée avec l’aide d’une intelligence artificielle. Selon le Google Threat Intelligence Group, il s’agit du premier cas identifié dans lequel une IA aurait contribué à la découverte et à l’exploitation d’une vulnérabilité inconnue dans des conditions réelles.
La faille visait un outil d’administration serveur open source largement utilisé. Google ne l’a pas nommé, le temps de permettre le déploiement du correctif. L’attaque devait permettre de contourner une protection par double authentification, à condition de disposer déjà d’identifiants valides. L’entreprise indique avoir travaillé avec l’éditeur concerné afin de corriger discrètement la vulnérabilité avant une exploitation à grande échelle.
Les chercheurs de Google ont attribué un rôle probable à l’IA en analysant le script utilisé par les attaquants. Sa structure, ses commentaires très pédagogiques et certains éléments incohérents, dont un score de gravité inventé, ont été interprétés comme des indices d’une génération par modèle de langage. Google précise toutefois ne pas savoir quel outil a été utilisé et ne pense pas que Gemini soit en cause.
L’incident marque une évolution préoccupante dans l’usage de l’IA par les groupes cybercriminels. Les modèles génératifs ne servent plus seulement à produire des courriels frauduleux ou à automatiser des tâches simples. Ils peuvent aussi aider à repérer des failles logiques complexes, parfois difficiles à détecter avec les outils classiques d’audit de sécurité.
Google observe également une montée en puissance de ces usages chez plusieurs acteurs malveillants. Des groupes liés à la Corée du Nord, à la Chine ou à la Russie expérimentent déjà l’IA pour tester des exploits, rechercher des vulnérabilités, automatiser certaines opérations ou produire des contenus de désinformation.
La campagne a été stoppée avant son déploiement massif. Mais le signal envoyé au secteur de la cybersécurité est clair. L’IA devient un outil de plus en plus présent dans les opérations offensives, obligeant les éditeurs, les entreprises et les équipes de défense à accélérer leurs propres capacités de détection et de réponse.
