Les hackers ont utilisé l'IA pour créer une faille zero-day qui contourne l'authentification à deux facteurs : Google

En résumé

• Le Groupe de renseignement sur les menaces de Google a confirmé que des cybercriminels ont utilisé l’IA pour développer une vulnérabilité zero-day ciblant un outil d’administration web open-source populaire.
• Google a déclaré que c’était la première fois que l’entreprise identifiait un développement de zero-day assisté par l’IA dans la nature.
• Google a collaboré avec le fournisseur concerné pour corriger la vulnérabilité avant que la campagne ne prenne de l’ampleur, mais a indiqué que des acteurs malveillants liés à la Chine et à la Corée du Nord utilisent également activement l’IA pour la recherche de vulnérabilités et le développement d’exploits.

Selon le Groupe de renseignement sur les menaces de Google, des cybercriminels ont utilisé un modèle d’IA pour découvrir et exploiter une vulnérabilité zero-day dans un outil d’administration web open-source populaire. Dans un rapport publié lundi, Google a indiqué que cette faille permettait aux attaquants de contourner l’authentification à deux facteurs, et a averti que ces derniers préparaient une campagne d’exploitation massive avant l’intervention de la société. C’est la première fois que Google confirme un développement de zero-day assisté par l’IA dans la nature. « À mesure que les capacités de codage des modèles d’IA progressent, nous observons de plus en plus que les adversaires exploitent ces outils comme des multiplicateurs de force de niveau expert pour la recherche de vulnérabilités et le développement d’exploits, y compris pour des zero-days », a écrit Google. « Bien que ces outils renforcent la recherche défensive, ils abaissent aussi la barrière pour les adversaires qui cherchent à rétroconcevoir des applications et à développer des exploits sophistiqués générés par l’IA. »

Le rapport intervient alors que des chercheurs et des gouvernements avertissent que les modèles d’IA accélèrent les cyberattaques en aidant les hackers à trouver des vulnérabilités, générer des logiciels malveillants et automatiser le développement d’exploits. « Bien que les LLMs de frontière aient du mal à naviguer dans la logique complexe d’autorisation en entreprise, ils ont une capacité croissante à effectuer un raisonnement contextuel, lisant efficacement l’intention du développeur pour faire le lien entre la logique d’application de la 2FA et les contradictions de ses exceptions codées en dur », indique le rapport. « Cette capacité peut permettre aux modèles de faire apparaître des erreurs de logique dormantes qui semblent correctes d’un point de vue fonctionnel pour les scanners traditionnels, mais qui sont stratégiquement défectueuses d’un point de vue sécurité. »  Selon Google, les attaquants non nommés ont utilisé l’IA pour identifier une faille logique où le logiciel faisait confiance à une condition qui contournait ses protections d’authentification à deux facteurs. Contrairement aux scanners traditionnels qui recherchent du code cassé ou des crashs, l’IA a analysé le fonctionnement prévu du logiciel et a détecté la contradiction, permettant aux attaquants de contourner la vérification de sécurité sans casser le chiffrement lui-même.

« La programmation pilotée par l’IA a accéléré le développement de suites d’infrastructure et de logiciels malveillants polymorphes par les adversaires », a écrit Google. « Ces cycles de développement assistés par l’IA facilitent l’évasion des défenses en permettant la création de réseaux d’obfuscation et l’intégration de logique de diversion générée par l’IA dans des logiciels malveillants que nous avons liés à des acteurs de menace suspects liés à la Russie. » Le rapport indique que des acteurs de menace en provenance de Chine et de Corée du Nord utilisent l’IA pour repérer des faiblesses logicielles, tandis que des groupes russes l’utilisent pour dissimuler leurs logiciels malveillants. « Ces acteurs ont exploité des approches sophistiquées pour la découverte et l’exploitation de vulnérabilités augmentées par l’IA, en commençant par des tentatives de jailbreak basées sur des personas et l’intégration de jeux de données de sécurité spécialisés et de haute fidélité pour renforcer leurs flux de travail de découverte et d’exploitation des vulnérabilités », a écrit Google. Alors que le rapport de Google visait à avertir du risque croissant de cyberattaques alimentées par l’IA, certains chercheurs soutiennent que cette crainte est exagérée. Une étude distincte menée par l’Université de Cambridge sur plus de 90 000 threads de forums de cybercriminalité a révélé que la majorité des criminels utilisaient l’IA pour le spam et le phishing plutôt que pour coder des cyberattaques sophistiquées. « Le rôle des LLMs jailbreakés (Dark AI) en tant qu’instructeurs est également exagéré, étant donné la prééminence de la sous-culture et de l’apprentissage social dans l’initiation — les nouveaux utilisateurs valorisent autant les connexions sociales et l’identité communautaire impliquées dans l’apprentissage du hacking et de la cybercriminalité que la connaissance elle-même », indique l’étude. « Nos résultats initiaux suggèrent donc que même déplorer la montée du Vibercriminal pourrait exagérer le niveau de perturbation à ce jour. » Malgré les conclusions de Cambridge, le rapport du Groupe de renseignement sur les menaces intervient également alors que Google a été confronté à des préoccupations de sécurité liées à des outils alimentés par l’IA. En avril, la société a corrigé une faille d’injection de prompt dans sa plateforme de codage AI Antigravity, que des chercheurs ont dit pouvoir permettre à des attaquants d’exécuter des commandes sur la machine d’un développeur via des prompts manipulés. « Bien que nous ne croyions pas que Gemini ait été utilisé, d’après la structure et le contenu de ces exploits, nous avons une forte confiance que l’acteur a probablement exploité un modèle d’IA pour soutenir la découverte et la mise en œuvre de cette vulnérabilité », ont écrit les chercheurs de Google. Plus tôt cette année, Anthropic a restreint l’accès à son modèle Claude Mythos après des tests montrant qu’il pouvait identifier des milliers de failles logicielles auparavant inconnues. Ces découvertes renforcent également les préoccupations croissantes selon lesquelles les modèles d’IA transforment la cybersécurité en aidant à la fois les défenseurs et les attaquants à trouver des vulnérabilités plus rapidement.

« À mesure que ces capacités atteignent davantage de défenseurs, de nombreuses autres équipes vivent maintenant le même vertige que nous lorsque les résultats ont d’abord été mis en évidence », a écrit Mozilla dans un article de blog en avril. « Pour une cible renforcée, une seule de ces bugs aurait été une alerte rouge en 2025, et tant d’entre eux en même temps vous font vous demander s’il est même possible de suivre le rythme. »