☕️ Google : 1,6 milliard de publicités frauduleuses supprimées dans l’UE avec Gemini

Une IA soutenue par Apple et Google révèle des milliers de failles dans des logiciels très utilisés

Project Glasswing, une initiative de cybersécurité soutenue par douze géants technologiques dont Apple, Google, Microsoft, AWS, Cisco, NVIDIA et JPMorgan Chase, a été lancée pour détecter automatiquement des failles dans les logiciels les plus critiques au monde. Le projet s'appuie sur un système d'intelligence artificielle baptisé Mythos, capable d'analyser en profondeur des bases de code massives pour y repérer des vulnérabilités jusqu'alors inconnues. Plus de quarante organisations gérant des infrastructures logicielles mondiales participent également à l'initiative, coordonnée sous l'égide de la Linux Foundation. Aucun accès public, abonnement commercial ou lancement grand public n'est prévu : le projet fonctionne exclusivement en consortium fermé. L'enjeu est considérable. Les logiciels open source constituent la colonne vertébrale de l'infrastructure numérique mondiale, des serveurs bancaires aux systèmes industriels en passant par les plateformes cloud. Des failles non détectées dans ces composants peuvent exposer des millions d'organisations simultanément, comme l'avait illustré la vulnérabilité Log4Shell en 2021. En automatisant la détection à grande échelle, Mythos promet de réduire drastiquement la fenêtre d'exposition entre l'introduction d'une faille et sa correction, un délai qui se compte aujourd'hui souvent en mois, voire en années. Ce projet s'inscrit dans une tendance de fond : après des années à construire des IA génératives grand public, les grandes entreprises technologiques réorientent une partie de leurs investissements vers des usages à fort impact systémique. La sécurité logicielle, longtemps sous-financée malgré sa criticité, attire désormais des coalitions inédites. Project Glasswing illustre aussi une réponse collective aux pressions réglementaires croissantes en Europe et aux États-Unis, qui imposent aux éditeurs une responsabilité accrue sur la sécurité de leurs chaînes d'approvisionnement logicielles.

Google a stoppé une attaque zero-day développée avec l'aide de l'IA

Google a identifié et neutralisé pour la première fois une faille zero-day dont le code d'exploitation avait été développé à l'aide d'une intelligence artificielle. Selon un rapport du Google Threat Intelligence Group (GTIG), des cybercriminels de premier plan préparaient un événement d'exploitation massive ciblant un outil d'administration web open-source non divulgué. L'objectif était de contourner l'authentification à deux facteurs de cet outil, une mesure de sécurité aujourd'hui considérée comme incontournable. Les chercheurs de Google ont repéré l'implication d'un LLM dans le script Python utilisé pour l'attaque grâce à plusieurs indices : un score CVSS halluciné et une structure de code trop formelle, typique des productions de modèles de langage entraînés sur des données académiques. Cette découverte marque un tournant dans le paysage des cybermenaces. L'utilisation d'outils d'IA générative pour produire des exploits opérationnels abaisse considérablement la barrière d'entrée pour les attaquants, permettant à des acteurs moins techniques de concevoir des attaques sophistiquées. Le contournement de l'authentification à deux facteurs à grande échelle aurait pu compromettre des milliers de systèmes administrés via cet outil. Cette affaire s'inscrit dans une tendance croissante documentée par les équipes de sécurité de Google, Microsoft et d'autres acteurs majeurs : des groupes cybercriminels, parfois liés à des États, expérimentent activement les LLMs pour accélérer la recherche de vulnérabilités et la rédaction de code malveillant. La capacité à détecter les artefacts stylistiques laissés par les IA dans le code d'attaque pourrait devenir une discipline défensive à part entière dans les années à venir.

💬 Ce qui me retient là-dedans, c'est pas l'exploit, c'est comment Google l'a repéré : un score CVSS halluciné et un code trop propre, trop académique pour sortir de mains humaines. Si tu vois où ça mène, détecter les artefacts stylistiques des IA dans du code malveillant va devenir une vraie discipline forensic à part entière. La question c'est combien de temps cette fenêtre reste ouverte avant que les modèles s'améliorent.

L’IA de Google produit « des dizaines de millions d’erreurs chaque heure »

Une enquête du New York Times révèle que les résumés générés automatiquement par Gemini, l'intelligence artificielle de Google, comportent des erreurs dans environ un cas sur dix. À l'échelle des milliards de requêtes traitées chaque jour par le moteur de recherche, ce taux d'échec représente des dizaines de millions d'informations incorrectes diffusées chaque heure auprès des utilisateurs. Ces erreurs peuvent prendre la forme de faits inventés, de dates erronées, de citations tronquées ou de conclusions déformées présentées comme des synthèses fiables. L'enjeu est considérable : contrairement à un lien classique que l'utilisateur peut ignorer ou croiser avec d'autres sources, les résumés IA s'affichent en tête de page dans un format qui inspire confiance et réduit l'incitation à vérifier. Pour des millions de personnes qui se fient désormais à ces encadrés pour obtenir une réponse rapide, chaque erreur peut se transformer en croyance erronée difficilement corrigeable. Les professionnels de santé, juristes, enseignants ou journalistes qui utilisent Google comme outil de travail sont directement exposés. Google a déployé ses résumés IA, baptisés AI Overviews, à grande échelle depuis mai 2024 aux États-Unis, puis progressivement dans le reste du monde, malgré plusieurs incidents embarrassants dès le lancement. La course à l'intégration de l'IA dans les moteurs de recherche, portée aussi par Microsoft Bing et Perplexity, pousse les acteurs à déployer vite plutôt qu'à déployer bien. Cette révélation relance le débat sur la responsabilité des plateformes face à la désinformation algorithmique et sur la nécessité d'une régulation plus stricte de ces fonctionnalités.

Experian révèle un paradoxe de fraude dans l'adoption de l'IA par les services financiers

Experian a publié début 2026 son rapport annuel sur les tendances de la fraude, et les chiffres sont édifiants : les consommateurs américains ont perdu plus de 12,5 milliards de dollars à cause de la fraude en 2024, selon les données de la FTC. Sur la même période, près de 60 % des entreprises interrogées par Experian ont signalé une augmentation de leurs pertes liées à la fraude entre 2024 et 2025. En face, les solutions de prévention d'Experian auraient permis à ses clients d'éviter environ 19 milliards de dollars de pertes frauduleuses dans le monde en 2025. Le rapport identifie cinq grandes menaces pour 2026, dont la plus préoccupante est ce que l'entreprise appelle le « machine-to-machine mayhem » : le moment où des agents IA autonomes, conçus pour effectuer des transactions au nom des utilisateurs, deviennent indiscernables des bots que les fraudeurs déploient à exactement les mêmes fins. Ce paradoxe révèle une faille structurelle dans l'adoption de l'IA par le secteur financier. Plus les organisations intègrent des agents capables de décisions autonomes, plus elles offrent aux fraudeurs une surface d'attaque à très grande échelle et à vitesse non humaine. La question de la responsabilité légale reste entière : quand un agent IA initie une transaction qui s'avère frauduleuse, personne ne sait clairement qui est responsable. Kathleen Peters, directrice de l'innovation fraude chez Experian North America, résume l'enjeu : « La technologie accélère l'évolution de la fraude, la rendant plus sophistiquée et plus difficile à détecter. » D'autres menaces identifiées dans le rapport sont tout aussi concrètes : des candidats deepfake infiltrent les processus de recrutement à distance — le FBI et le DOJ ont multiplié les alertes en 2025 sur des opératives nord-coréens ayant ainsi obtenu des postes dans des entreprises américaines. Les bots de type romance scam deviennent émotionnellement convaincants grâce à l'IA générative, tandis que le clonage de sites web par IA surcharge les équipes antifraude avec des domaines usurpés qui ressurgissent même après suppression. Enfin, les appareils connectés — assistants vocaux, serrures intelligentes — ouvrent de nouveaux points d'entrée dans les données personnelles. Ce rapport arrive à un moment charnière : 2026 s'annonce comme l'année où l'industrie sera forcée de trancher des questions de gouvernance sur l'IA agentique que personne n'a encore voulu aborder frontalement. Amazon a déjà bloqué les agents IA tiers de son écosystème, invoquant des raisons de sécurité — un signal précoce de la tension à venir entre innovation et protection. Experian, acteur central du scoring et de la vérification d'identité, se retrouve dans une position ambivalente : vendre des outils IA de défense tout en documentant comment ces mêmes outils alimentent l'offensive. Le secteur financier entre dans une course aux armements algorithmique où la vitesse d'adaptation sera le principal avantage concurrentiel — et où les régulateurs n'ont pas encore de réponse claire à apporter.

💬 Le "machine-to-machine mayhem", c'est le vrai sujet, et Experian met le doigt dessus mieux que n'importe qui. Quand ton agent IA légitime et le bot fraudeur font exactement la même chose au même rythme, comment tu distingues les deux ? La question de la responsabilité légale, personne ne veut y répondre pour l'instant, mais en 2026 ça va devenir inévitable, surtout avec l'AI Act qui attend les banques européennes au tournant.