La propre IA de Meta a été détournée pour pirater des comptes Instagram

L'agent navigateur d'Anthropic a été détourné dans 31,5 % des cas avant l'activation des protections

Le 28 mai 2026, Anthropic a publié une fiche système de 244 pages pour ses modèles Claude 4, révélant que son agent navigateur pouvait être détourné via des attaques par injection de prompt dans 31,5 % des tentatives avant l'activation des protections. Ce chiffre concerne spécifiquement le modèle Opus 4.8 testé dans un environnement navigateur, la surface la plus vulnérable parmi les quatre testées. Les chercheurs de Gray Swan ont utilisé l'outil Shade sur 129 environnements web distincts, à raison de dix tentatives chacun. Dans un environnement de codage, le taux d'attaque réussie tombait à 7,03 %. Une fois les protections activées, le taux dans le navigateur chute à 0,5 % ; avec la fonctionnalité de réflexion désactivée, il tombe à zéro sur l'ensemble des 129 environnements. Le modèle Sonnet 4.6 affichait un taux brut de 50,7 % sans protection, contre 31,5 % pour Opus 4.8, signe d'une amélioration générationnelle. Par comparaison, OpenAI n'a publié qu'un seul score de robustesse pour GPT-5.5 (0,963 sur 1) sur une unique surface d'attaque, Google a déplacé le sujet dans un cadre de sécurité séparé, et Meta n'a publié aucune fiche pour ses modèles fermés. Le paradoxe de cette divulgation est qu'Anthropic, pourtant le seul laboratoire à publier des chiffres d'échec aussi précis, se retrouve en réalité dans la position la plus solide. Ces données constituent la seule base de comparaison sérieuse mise à la disposition des acheteurs et des responsables de la sécurité. Une attaque par injection de prompt consiste à dissimuler une instruction malveillante dans un contenu qu'un agent IA est amené à lire, une page web, un document, un résultat d'outil. Un simple texte du type "ignore les instructions précédentes" peut suffire à exfiltrer des données sensibles ou à déclencher des actions non autorisées. Carter Rees, vice-président IA chez Reputation, souligne que cette menace "partage aucune signature commune avec les malwares connus", ce qui rend les défenses classiques inopérantes. Pour les entreprises qui déploient des agents IA, la responsabilité de gérer cette exposition leur revient désormais entièrement. L'absence de standard industriel commun est au coeur du problème. Chaque laboratoire a construit sa propre échelle de mesure, rendant toute comparaison entre firmes impossible en l'état. Adam Meyers, de CrowdStrike, avertit que le déploiement d'IA élargit mécaniquement la surface d'attaque des organisations. Le rapport de CrowdStrike sur le secteur financier, publié en mai 2026, montre que les attaquants utilisent déjà l'IA pour réduire drastiquement le délai entre l'intrusion initiale et l'impact, devançant les défenses traditionnelles. Dans ce contexte, la granularité des données publiées par Anthropic, ventilées par surface, par génération de modèle et par type de protection, pourrait servir de référence pour d'éventuels futurs standards de divulgation sectoriels. La prochaine étape sera d'observer si Google, OpenAI et Meta convergeront vers un format comparable, ou si l'opacité restera la norme.

💬 31,5% de taux de détournement sans protection, c'est un chiffre qui fait mal, mais Anthropic est le seul à publier des vrais chiffres d'échec, et ça change tout. Sonnet 4.6 à 50,7% brut contre 31,5% pour Opus 4.8, c'est une progression générationnelle réelle, mesurable, pas du comm'. Le plus inquiétant reste l'absence totale de standard commun : OpenAI sort un score de robustesse sur une surface unique, Google botte en touche, Meta ne dit rien, et pendant ce temps les entreprises qui déploient des agents doivent naviguer à vue.

Jailbreak et Prompt Injection : comment les hackers piratent les IA

Les intelligences artificielles génératives sont désormais exposées à deux catégories d'attaques bien documentées : le jailbreak et la prompt injection. Le jailbreak consiste à contourner les règles de sécurité intégrées dans un modèle de langage, ces filtres conçus pour empêcher la génération de contenus illégaux, haineux ou dangereux. La prompt injection, elle, introduit des instructions malveillantes directement dans l'entrée du modèle, en exploitant le fait que les LLM ne distinguent pas naturellement une donnée d'une commande. Microsoft et OpenAI ont tous deux documenté de nombreux cas réels où des séquences de messages soigneusement construites, parfois sous forme de jeux de rôle ou de formulations persuasives, ont suffi à faire contourner ses garde-fous à un modèle. La prompt injection prend deux formes : directe, via le champ de saisie de l'utilisateur, ou indirecte, dissimulée dans un document externe lu par l'IA, comme un e-mail ou une page web. Ces vulnérabilités cessent d'être des curiosités techniques dès lors que les IA pilotent des systèmes critiques en entreprise. Un modèle compromis peut exfiltrer des données confidentielles, exécuter des commandes non autorisées ou propager des contenus nuisibles à grande échelle. La dangerosité tient en grande partie à l'asymétrie de l'attaque : ces techniques sont faciles à lancer, ne nécessitent aucune modification du code source, mais restent difficiles à détecter en temps réel. Les applications d'entreprise qui connectent des LLM à des bases de données, des messageries ou des outils internes représentent une surface d'attaque particulièrement exposée, car une injection indirecte peut s'activer sans intervention directe de l'attaquant sur l'interface. La combinaison des deux méthodes amplifie encore le risque : le jailbreak peut être le résultat d'une série de prompts injectés progressivement, poussant le modèle à ignorer ses instructions de base par accumulation. Ce phénomène s'inscrit dans un contexte plus large où la sécurité des systèmes IA accuse un retard structurel sur leur déploiement. Contrairement à la sécurité applicative classique, il n'existe pas encore de standard universel pour auditer ou certifier la robustesse d'un modèle face à ces attaques. Les chercheurs en sécurité, les équipes red team d'OpenAI, Google et Anthropic, ainsi que des cabinets indépendants, travaillent à établir des benchmarks fiables, mais la course entre attaque et défense reste ouverte. La vigilance humaine dans la supervision des sorties des modèles demeure, à ce stade, la mesure de protection la plus concrète disponible.

Mistral AI piraté ? Un hacker met en vente 5 Go de code source et 450 dépôts internes pour 25 000 dollars

Depuis le 13 mai 2026, un vendeur anonyme propose sur un forum cybercriminel l'accès à environ 5 Go de données attribuées à Mistral AI : près de 450 dépôts privés et du code source interne, mis en vente pour 25 000 dollars. La startup française d'intelligence artificielle, fondée en 2023 et valorisée à plusieurs milliards d'euros, n'a pas confirmé publiquement la fuite. Toutefois, des informations indiquent que Mistral AI mène une enquête interne sur un incident de sécurité distinct, lié cette fois à une attaque de type supply chain, ce qui suggère que l'entreprise a bien subi une intrusion d'une forme ou d'une autre. L'exposition potentielle de 450 dépôts privés représente un risque majeur pour une entreprise dont la valeur repose précisément sur ses modèles propriétaires et son infrastructure technique. Si la fuite est authentique, des concurrents pourraient accéder à des algorithmes, des pipelines d'entraînement ou des données de configuration qui constituent le cœur compétitif de Mistral. Pour les clients enterprise utilisant les API de la startup, la question de la sécurité de leurs données transmises se pose également. Mistral AI s'est imposée comme le principal acteur européen de l'IA générative, face aux géants américains OpenAI et Anthropic. La startup a levé des centaines de millions d'euros en moins de deux ans et collabore avec des institutions publiques françaises, ce qui rend toute compromission particulièrement sensible. Les attaques supply chain, qui visent les outils et dépendances utilisés par les équipes de développement plutôt que les systèmes en production, sont en forte hausse dans le secteur tech depuis 2024, et ciblent désormais explicitement les startups IA à forte croissance.

💬 25 000 dollars pour les pipelines d'entraînement de Mistral, c'est presque insultant comme prix vu la valorisation. Si c'est authentique, le vrai dégât c'est pas le code volé, c'est la confiance des clients enterprise et des institutions publiques qui s'évapore d'un coup. Une supply chain attack bien menée, ça ne se voit pas venir, et visiblement même les boîtes les mieux financées du moment ne sont pas immunisées.

L’IA aurait aidé des pirates à développer un exploit zero-day, une première selon Google

Des chercheurs du Google Threat Intelligence Group (GITG) ont identifié ce qui serait le premier cas documenté d'un exploit de type zero-day développé avec l'aide d'une intelligence artificielle. L'acteur malveillant, dont l'identité n'a pas été révélée, prévoyait d'utiliser cette vulnérabilité dans le cadre d'une campagne d'exploitation à grande échelle. La faille ciblait un outil d'administration open-source très répandu et permettait de contourner l'authentification à double facteur (2FA), à condition que les pirates disposent déjà des identifiants et mots de passe de leurs victimes. L'exploit se présentait sous la forme d'un script Python. Google a procédé à une divulgation responsable auprès de l'éditeur concerné, dont le nom reste confidentiel, et la vulnérabilité a depuis été corrigée. Le GITG indique ne pas avoir observé de campagne active, mais ne peut exclure une exploitation à plus petite échelle. Cette découverte marque un tournant dans le paysage de la cybersécurité. Les grands modèles de langage se montrent désormais capables d'identifier des erreurs logiques de haut niveau, comme un contournement d'authentification intégré directement dans le code par un développeur, que les outils de détection traditionnels auraient probablement laissé passer. Contrairement aux bugs techniques classiques, ce type de faille repose sur une logique défaillante dans la conception du programme, une catégorie que les LLM abordent avec une efficacité croissante grâce à leur capacité de raisonnement contextuel. John Hultquist, chef analyste du GITG, a décrit cette découverte comme « un avant-goût de ce qui nous attend » et a prévenu le New York Times que le problème est « probablement bien plus vaste » : ce cas ne serait que la partie émergée de l'iceberg. Le GITG ne dévoile pas le modèle d'IA utilisé, précisant seulement que Gemini n'est probablement pas en cause. L'hypothèse IA repose sur plusieurs indices relevés dans le code : un volume inhabituellement élevé de texte explicatif, un style de code particulièrement propre et scolaire, et une mise en forme jugée caractéristique des données d'entraînement des LLM. Le laboratoire note par ailleurs que des acteurs liés à la Corée du Nord et à la Chine s'intéressent activement à l'utilisation de l'IA pour identifier des failles de sécurité. Cette découverte devrait renforcer les appels à un encadrement plus strict des modèles avancés, OpenAI et Anthropic réservent déjà leurs modèles spécialisés en cybersécurité à des organisations sélectionnées. La même capacité de raisonnement qui aide les attaquants est aussi entre les mains des défenseurs, mais l'équilibre de la menace vient de basculer.

💬 C'était dans l'air, mais ça fait quand même un effet quand c'est Google qui le documente pour la première fois. Ce qui frappe c'est pas le zero-day en soi, c'est que les LLM s'avèrent précisément bons sur les failles logiques, le genre que les scanners classiques ratent complètement. Et les indices qui ont permis de détecter l'IA dans le code (style trop propre, commentaires verbeux), ça va tenir encore combien de mois ?