L’intelligence artificielle vient de franchir une ligne rouge. Dans son rapport AI Threat Tracker, publié le 11 mai 2026, le Google Threat Intelligence Group (GTIG) révèle qu’un gang de hackers s’est servi de l’IA pour découvrir et exploiter une faille zero-day. Comme son nom l’indique, la vulnérabilité a été mise en lumière avant qu’un correctif ne puisse être déployé et avant que les développeurs ne prennent conscience de la brèche. Pour « la première fois, le GTIG a identifié un acteur malveillant utilisant un exploit zero-day que nous pensons avoir été développé à l’aide de l’IA », indique Google.
À lire aussi : Nouvelle cyberattaque sur Windows et Linux – ce logiciel gratuit, utilisé par des millions d’utilisateurs, a été piégé
Un problème de logique à l’origine de la faille
La cible des pirates est un outil d’administration système web open source très répandu. Pour des raisons de sécurité évidentes, Google a refusé de dévoiler le nom du logiciel. La faille débusquée à l’aide d’un modèle d’IA permet de contourner la double authentification (2FA) d’un compte. Pour contourner l’authentification multifactorielle, il faut d’abord mettre la main sur des identifiants valides. En clair, un attaquant disposant de votre mot de passe peut se connecter à votre compte, même si vous avez configuré la double authentification, que ce soit par le biais de l’envoi d’un code par SMS ou d’une application dédiée. La faille permet de faire sauter la demande de codes.
Comme l’expliquent les chercheurs du Google Threat Intelligence Group (GTIG), l’équipe interne de Google dédiée à la recherche et à l’analyse des menaces, la faille découle d’un problème de raisonnement dans le développement de l’outil. Le développeur a écrit le code en supposant que si un utilisateur atteint l’étape de vérification du second facteur, c’est qu’il avait forcément déjà prouvé son identité à l’étape précédente. En partant de ce principe erroné, un pirate peut contourner le système de sécurité. Un attaquant ayant volé un mot de passe pouvait atteindre cette étape clé de l’authentification en empruntant un chemin détourné. De facto, le système pense qu’il s’est déjà authentifié alors que ce n’est pas le cas.
À lire aussi : Cette faille vieille de 9 ans touche plusieurs milliards d’appareils
Une vulnérabilité difficile à débusquer
Sur le papier, le système ne rencontre pas de dysfonctionnements. Il fonctionne en fait comme son code l’a prévu. C’est pourquoi ce type de vulnérabilité, découlant d’un raisonnement biaisé, est très difficile à repérer pour les scanners et les outils de sécurité traditionnels. Un modèle de langage, qui comprend la logique du code, est plus à même de débusquer la faille que d’autres outils. L’IA comprend l’intention de l’auteur, et peut détecter une contradiction entre cette intention initiale et ce que le code permet réellement de faire. Des erreurs logiques « dormantes », passées inaperçues pendant une longue période, peuvent ainsi être identifiées quand l’IA se penche sur le code.
Les chercheurs de Google expliquent être persuadés que l’IA a ensuite été utilisée pour construire la méthode d’exploitation de la faille. Les hackers ne se sont en effet pas arrêtés à la découverte de la vulnérabilité. Ils ont voulu trouver le moyen de s’en servir dans le cadre de cyberattaques. Les experts ont identifié une série d’indices caractéristiques dans le script Python, qui sont révélateurs de la manière dont un modèle de langage fonctionne. Selon le rapport, ce n’est probablement pas Gemini qui a été exploité par les cybercriminels. Il s’agit d’une autre IA, dont le nom est resté inconnu.
Des cyberattaques massives
Avec cette faille et cette tactique d’exploitation, les hackers avaient prévu de lancer des cyberattaques massives. Des attaques simultanées visant un grand nombre de systèmes, reposant sur le même logiciel d’administration, étaient prévues. Avant que les hackers ne puissent passer à l’action, des erreurs dans l’implémentation de l’offensive ont court-circuité les projets des cybercriminels. Google est ensuite parvenu à intercepter l’attaque et à prévenir l’éditeur de l’outil vulnérable. Un correctif a été publié pour colmater la brèche.
La « partie émergée de l’iceberg » des cyberattaques IA
Pour Google, cette faille zero-day n’est que la « partie émergée de l’iceberg » des attaques reposant sur l’intelligence artificielle. John Hultquist, analyste en chef du GTIG, ne mâche pas ses mots et estime que « pour chaque zero-day que l’on peut retracer jusqu’à l’IA, il en existe probablement beaucoup d’autres ». C’est un « premier aperçu de ce qui nous attend » dans un avenir proche.
Selon les recherches menées par Google, des groupes de hackers liés à la Chine et à la Corée du Nord ont eux aussi adopté l’IA pour faciliter leurs opérations. Plusieurs gangs recherchent activement des vulnérabilités en posant des milliers de questions à des chatbots d’IA. L’utilisation massive de l’IA permettrait aux hackers de gagner énormément de temps.
L’intelligence artificielle a aussi été adoptée par les cybercriminels russes. Du côté russe, l’IA sert aussi à déguiser les virus pour échapper aux antivirus. Des logiciels malveillants russes, comme CANFAIL et LONGSTREAM, utilisent l’IA pour générer automatiquement une épaisse couche de code parfaitement banal, qui dissimule leur véritable fonction malveillante. Le rapport évoque aussi les attaques perpétrées par PromptSpy, un malware qui se sert de Gemini pour s’incruster en profondeur dans le smartphone de ses cibles.
L’IA, aussi un outil de défense
À l’inverse, Google souligne que l’IA peut aussi s’ajouter à l’arsenal des cyberdéfenseurs. C’est d’ailleurs le cas de Claude Mythos, l’IA d’Anthropic taillée pour la cybersécurité, qui a été mise à disposition d’une poignée d’entreprises triées sur le volet, ou encore de GPT-5.4-Cyber d’OpenAI. De son côté, « Google exploite des agents IA comme Big Sleep pour identifier des vulnérabilités logicielles et utilise les capacités de raisonnement de Gemini via CodeMender pour les corriger automatiquement — prouvant que l’IA peut aussi être un outil puissant pour les défenseurs », explique le rapport.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
