Google affirme avoir stoppé une cyberattaque de grande ampleur après qu'une IA a détecté une faille zero-day

Google a stoppé une attaque zero-day développée avec l'aide de l'IA

Google a identifié et neutralisé pour la première fois une faille zero-day dont le code d'exploitation avait été développé à l'aide d'une intelligence artificielle. Selon un rapport du Google Threat Intelligence Group (GTIG), des cybercriminels de premier plan préparaient un événement d'exploitation massive ciblant un outil d'administration web open-source non divulgué. L'objectif était de contourner l'authentification à deux facteurs de cet outil, une mesure de sécurité aujourd'hui considérée comme incontournable. Les chercheurs de Google ont repéré l'implication d'un LLM dans le script Python utilisé pour l'attaque grâce à plusieurs indices : un score CVSS halluciné et une structure de code trop formelle, typique des productions de modèles de langage entraînés sur des données académiques. Cette découverte marque un tournant dans le paysage des cybermenaces. L'utilisation d'outils d'IA générative pour produire des exploits opérationnels abaisse considérablement la barrière d'entrée pour les attaquants, permettant à des acteurs moins techniques de concevoir des attaques sophistiquées. Le contournement de l'authentification à deux facteurs à grande échelle aurait pu compromettre des milliers de systèmes administrés via cet outil. Cette affaire s'inscrit dans une tendance croissante documentée par les équipes de sécurité de Google, Microsoft et d'autres acteurs majeurs : des groupes cybercriminels, parfois liés à des États, expérimentent activement les LLMs pour accélérer la recherche de vulnérabilités et la rédaction de code malveillant. La capacité à détecter les artefacts stylistiques laissés par les IA dans le code d'attaque pourrait devenir une discipline défensive à part entière dans les années à venir.

💬 Ce qui me retient là-dedans, c'est pas l'exploit, c'est comment Google l'a repéré : un score CVSS halluciné et un code trop propre, trop académique pour sortir de mains humaines. Si tu vois où ça mène, détecter les artefacts stylistiques des IA dans du code malveillant va devenir une vraie discipline forensic à part entière. La question c'est combien de temps cette fenêtre reste ouverte avant que les modèles s'améliorent.

L’IA aurait aidé des pirates à développer un exploit zero-day, une première selon Google

Des chercheurs du Google Threat Intelligence Group (GITG) ont identifié ce qui serait le premier cas documenté d'un exploit de type zero-day développé avec l'aide d'une intelligence artificielle. L'acteur malveillant, dont l'identité n'a pas été révélée, prévoyait d'utiliser cette vulnérabilité dans le cadre d'une campagne d'exploitation à grande échelle. La faille ciblait un outil d'administration open-source très répandu et permettait de contourner l'authentification à double facteur (2FA), à condition que les pirates disposent déjà des identifiants et mots de passe de leurs victimes. L'exploit se présentait sous la forme d'un script Python. Google a procédé à une divulgation responsable auprès de l'éditeur concerné, dont le nom reste confidentiel, et la vulnérabilité a depuis été corrigée. Le GITG indique ne pas avoir observé de campagne active, mais ne peut exclure une exploitation à plus petite échelle. Cette découverte marque un tournant dans le paysage de la cybersécurité. Les grands modèles de langage se montrent désormais capables d'identifier des erreurs logiques de haut niveau, comme un contournement d'authentification intégré directement dans le code par un développeur, que les outils de détection traditionnels auraient probablement laissé passer. Contrairement aux bugs techniques classiques, ce type de faille repose sur une logique défaillante dans la conception du programme, une catégorie que les LLM abordent avec une efficacité croissante grâce à leur capacité de raisonnement contextuel. John Hultquist, chef analyste du GITG, a décrit cette découverte comme « un avant-goût de ce qui nous attend » et a prévenu le New York Times que le problème est « probablement bien plus vaste » : ce cas ne serait que la partie émergée de l'iceberg. Le GITG ne dévoile pas le modèle d'IA utilisé, précisant seulement que Gemini n'est probablement pas en cause. L'hypothèse IA repose sur plusieurs indices relevés dans le code : un volume inhabituellement élevé de texte explicatif, un style de code particulièrement propre et scolaire, et une mise en forme jugée caractéristique des données d'entraînement des LLM. Le laboratoire note par ailleurs que des acteurs liés à la Corée du Nord et à la Chine s'intéressent activement à l'utilisation de l'IA pour identifier des failles de sécurité. Cette découverte devrait renforcer les appels à un encadrement plus strict des modèles avancés, OpenAI et Anthropic réservent déjà leurs modèles spécialisés en cybersécurité à des organisations sélectionnées. La même capacité de raisonnement qui aide les attaquants est aussi entre les mains des défenseurs, mais l'équilibre de la menace vient de basculer.

💬 C'était dans l'air, mais ça fait quand même un effet quand c'est Google qui le documente pour la première fois. Ce qui frappe c'est pas le zero-day en soi, c'est que les LLM s'avèrent précisément bons sur les failles logiques, le genre que les scanners classiques ratent complètement. Et les indices qui ont permis de détecter l'IA dans le code (style trop propre, commentaires verbeux), ça va tenir encore combien de mois ?

Une IA soutenue par Apple et Google révèle des milliers de failles dans des logiciels très utilisés

Project Glasswing, une initiative de cybersécurité soutenue par douze géants technologiques dont Apple, Google, Microsoft, AWS, Cisco, NVIDIA et JPMorgan Chase, a été lancée pour détecter automatiquement des failles dans les logiciels les plus critiques au monde. Le projet s'appuie sur un système d'intelligence artificielle baptisé Mythos, capable d'analyser en profondeur des bases de code massives pour y repérer des vulnérabilités jusqu'alors inconnues. Plus de quarante organisations gérant des infrastructures logicielles mondiales participent également à l'initiative, coordonnée sous l'égide de la Linux Foundation. Aucun accès public, abonnement commercial ou lancement grand public n'est prévu : le projet fonctionne exclusivement en consortium fermé. L'enjeu est considérable. Les logiciels open source constituent la colonne vertébrale de l'infrastructure numérique mondiale, des serveurs bancaires aux systèmes industriels en passant par les plateformes cloud. Des failles non détectées dans ces composants peuvent exposer des millions d'organisations simultanément, comme l'avait illustré la vulnérabilité Log4Shell en 2021. En automatisant la détection à grande échelle, Mythos promet de réduire drastiquement la fenêtre d'exposition entre l'introduction d'une faille et sa correction, un délai qui se compte aujourd'hui souvent en mois, voire en années. Ce projet s'inscrit dans une tendance de fond : après des années à construire des IA génératives grand public, les grandes entreprises technologiques réorientent une partie de leurs investissements vers des usages à fort impact systémique. La sécurité logicielle, longtemps sous-financée malgré sa criticité, attire désormais des coalitions inédites. Project Glasswing illustre aussi une réponse collective aux pressions réglementaires croissantes en Europe et aux États-Unis, qui imposent aux éditeurs une responsabilité accrue sur la sécurité de leurs chaînes d'approvisionnement logicielles.

Anthropic garde un nouveau modèle IA secret après avoir découvert des milliers de failles externes

Anthropic a développé un nouveau modèle d'intelligence artificielle, baptisé Claude Mythos Preview, dont les capacités en cybersécurité sont jugées trop dangereuses pour une diffusion publique. Ce modèle a déjà identifié des milliers de vulnérabilités dans les principaux systèmes d'exploitation et navigateurs web, notamment un bug vieux de 27 ans dans OpenBSD et une faille critique de 17 ans dans FreeBSD, la CVE-2026-4747, permettant à n'importe quel utilisateur non authentifié de prendre le contrôle total d'un serveur exposé sur internet. Cette dernière découverte a été réalisée de manière entièrement autonome, sans intervention humaine après la simple instruction initiale. Plutôt que de commercialiser le modèle, Anthropic a choisi de le confier discrètement à une coalition de partenaires fondateurs incluant Amazon Web Services, Apple, Cisco, Google, Microsoft, Nvidia, CrowdStrike, JPMorganChase et la Linux Foundation, auxquels s'ajoutent plus de 40 organisations gérant des infrastructures logicielles critiques. L'entreprise s'engage à mobiliser jusqu'à 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en dons directs à des organisations de sécurité open source, dont 2,5 millions à Alpha-Omega et OpenSSF via la Linux Foundation, et 1,5 million à la Fondation Apache. L'enjeu dépasse la simple prouesse technique. Mythos Preview est capable de chaîner trois, quatre, voire cinq vulnérabilités distinctes pour construire des exploits sophistiqués, selon Nicholas Carlini, chercheur chez Anthropic, qui déclare avoir trouvé "plus de bugs ces dernières semaines que dans toute sa vie réunie". Le modèle sature désormais les benchmarks de sécurité existants, forçant Anthropic à se concentrer sur des tâches réelles inédites, notamment la découverte de failles zero-day. Newton Cheng, responsable de la Red Team cyber chez Anthropic, est explicite : les retombées d'une diffusion incontrôlée "pour les économies, la sécurité publique et la sécurité nationale pourraient être sévères". Pour les mainteneurs open source, qui gèrent des logiciels critiques sans équipes de sécurité dédiées, l'accès à ce type d'outil représente un rééquilibrage structurel : la sécurité de haut niveau cesse d'être un privilège réservé aux grands groupes. Cette initiative s'inscrit dans un contexte de tensions croissantes autour de l'IA offensive. Anthropic avait précédemment documenté le premier cas avéré d'une cyberattaque conduite majoritairement par des agents IA, un groupe soutenu par l'État chinois ayant infiltré une trentaine de cibles mondiales avec une autonomie tactique quasi totale. Les services de renseignement américains ont été informés en privé des capacités complètes de Mythos Preview et évaluent actuellement son impact potentiel sur les opérations offensives et défensives. Le projet Glasswing représente ainsi le pari d'Anthropic : diffuser les capacités défensives avant que les capacités offensives ne se propagent à des acteurs moins scrupuleux, dans une course contre la montre que la rapidité même des progrès de l'IA rend particulièrement incertaine.