Premier exploit zero-day façonné par une intelligence artificielle : ce que la découverte de Google change vraiment

Temps de lecture : 6 minutes
Écran d'ordinateur affichant du code dans une salle d'opérations cybersécurité en arrière-plan.
© Le rapport de Google souligne qu'une partie croissante du code malveillant porte désormais l'empreinte d'une intelligence artificielle.
Montrer les titres Cacher les titres

Le 11 mai 2026, le Threat Intelligence Group de Google a publié une note qui a circulé en quelques heures dans les rédactions techniques et dans les cellules de sécurité des grandes entreprises. Pour la première fois, des chercheurs documentent un exploit zero-day dont le code a été élaboré avec l’aide directe d’une intelligence artificielle, et qui a été déployé dans la nature avant qu’un correctif n’existe.

Un zero-day, c’est une faille inconnue de l’éditeur du logiciel concerné, donc impossible à corriger au moment où elle est exploitée. La cible visée n’est pas un poste personnel mais un outil d’administration système très répandu, utilisé pour piloter des parcs informatiques entiers. La vraie nouveauté ne tient pas à la faille elle-même : elle tient au fait que le mode opératoire trahit, presque ligne à ligne, l’empreinte d’un grand modèle de langage.

Cet épisode arrive après deux ans d’avertissements répétés des éditeurs d’IA et des agences nationales de cybersécurité, qui décrivaient ce scénario comme inévitable. La question n’est plus de savoir si une telle bascule allait survenir, elle est désormais beaucoup plus concrète : que va-t-elle changer, vraiment, pour les attaquants comme pour ceux qui doivent les arrêter ?

Ce que Google dit avoir intercepté

Le rapport publié par le GTIG décrit une opération qui visait un outil open source d’administration système, utilisé par des dizaines de milliers d’organisations pour pousser des configurations sur des parcs entiers de machines. Les attaquants n’avaient pas besoin d’une compromission complète : ils ciblaient un contournement de l’authentification à deux facteurs, exploitable dès qu’ils disposaient déjà d’identifiants valides récupérés ailleurs.

Selon les chiffres avancés par Google, la faille touchait potentiellement plusieurs centaines de milliers d’instances exposées sur Internet. La signalisation publique a eu lieu le 11 mai, après un échange privé avec l’éditeur, et un correctif a été poussé dans la foulée. La rapidité de la détection a probablement évité ce que les chercheurs qualifient eux-mêmes de scénario d’exploitation de masse.

L’angle technique n’est pas le plus marquant. Ce qui retient l’attention des analystes, c’est la manière dont les opérateurs ont structuré leur attaque autour des sorties d’un modèle de langage. Ils ont semble-t-il découpé la chaîne en petites tâches, demandé à l’IA de les enchaîner, et accepté ses réponses sans toujours les corriger.

Les signatures involontaires d’un code écrit par une machine

Les défenseurs de Google racontent avoir reconnu plusieurs indices très clairs dans le code intercepté. Le script contenait des docstrings éducatives, ces commentaires explicatifs que les modèles génératifs produisent par habitude. On y trouvait aussi un score CVSS, ce thermomètre standard de la gravité d’une faille gradué de 0 à 10, attribué de façon hallucinée à une vulnérabilité qui ne pouvait pas encore en disposer.

Le formatage Python lui-même trahissait l’origine. Le code respectait scrupuleusement la convention de style PEP 8, là où un développeur humain pressé prend des libertés avec les retours à la ligne et les conventions de nommage. Ce « propre de manuel », selon l’expression employée par plusieurs analystes, est devenu un marqueur de plus en plus fiable du code produit par la nouvelle génération d’assistants génératifs.

Aucun de ces indices n’aurait sans doute suffi seul. Réunis dans un même fragment, ils ont permis aux équipes de Google de remonter à la source en moins de 48 heures. Le rapport précise que ni leur propre Gemini ni Claude Mythos, le modèle frontier d’Anthropic, ne sont en cause : les attaquants se sont tournés vers un modèle plus libre, dont l’identité reste publiquement confidentielle.

Une bascule annoncée depuis deux ans et désormais documentée

Le scénario d’un exploit forgé par une IA n’avait rien d’imprévu. Dès 2024, Anthropic publiait des rapports sur les tentatives d’usage offensif de Claude, et l’ENISA, l’agence européenne de cybersécurité, classait l’IA générative parmi les facteurs aggravants de son rapport annuel sur le paysage des menaces.

Trois données aident à mesurer le basculement. Selon le Microsoft AI Economy Institute, 47,8 % des actifs français ont déclaré avoir utilisé un outil d’IA générative au premier trimestre 2026. Côté investissement, Meta a annoncé une enveloppe pouvant atteindre 135 milliards de dollars consacrés à l’infrastructure IA pour la seule année 2026. Une partie de cette puissance se déverse aujourd’hui dans des usages que les éditeurs ne contrôlent plus complètement.

Cette diffusion massive change l’échelle du risque. Quand un outil de productivité est utilisé par la moitié d’un pays, il l’est aussi, presque mécaniquement, par les acteurs malveillants qui s’y trouvent. La bascule observée par Google relève autant d’une question de quantité que d’un saut qualitatif, et elle s’inscrit dans le glissement progressif vers des usages offensifs des modèles.

Quand les groupes étatiques industrialisent l’IA offensive

Le rapport de Google ne se limite pas au cas isolé. Il s’inscrit dans une cartographie plus large des manières dont les groupes liés à des États utilisent l’IA générative pour structurer leurs opérations. Trois usages dominants ressortent des observations conjointes de Google, Mandiant et de plusieurs agences nationales.

  • Le groupe nord-coréen APT45, qui automatise l’envoi de milliers de requêtes à des modèles publics pour faire valider des fragments de code malveillant à la chaîne ;
  • L’acteur lié à la Chine identifié sous le nom UNC2814, qui exploite des techniques de jailbreak contre Gemini pour générer des analyses de vulnérabilités sur des routeurs grand public ;
  • Des groupes criminels russophones qui s’appuient sur des modèles ouverts auto-hébergés, afin d’échapper aux contrôles imposés par les éditeurs commerciaux.

Ce panorama dessine une chaîne de production où l’IA joue un rôle d’assistant, jamais d’attaquant autonome. La supervision humaine reste indispensable, ne serait-ce que pour trier les hallucinations du modèle ou pour orchestrer des campagnes qui paralysent à distance des postes entiers.

La défense apprend à parler le langage des modèles

Si l’attaque s’industrialise, la défense ne reste pas immobile. Google met en avant que la détection elle-même de l’exploit a été facilitée par des outils d’analyse comportementale eux-mêmes assistés par IA, capables de croiser des centaines de signaux faibles en quelques secondes. Mandiant, racheté par Google en 2022, indique dans son rapport M-Trends 2025 que le délai médian entre l’intrusion et la détection est tombé à 10 jours en 2024, contre 16 un an plus tôt.

L’idée qu’un appareil ou un service « intelligent » devient automatiquement plus exposé n’est pas neuve. Le chercheur finlandais Mikko Hyppönen avait synthétisé cette intuition en une formule simple, devenue la loi de Hyppönen dans le milieu de la cybersécurité.

Si c’est intelligent, c’est vulnérable.

Mikko Hyppönen, chercheur en cybersécurité chez WithSecure, formule reprise dans son ouvrage « If It’s Smart, It’s Vulnerable », paru en 2022.

Appliquée à l’IA générative, la formule prend une saveur particulière. Plus les modèles deviennent capables, plus ils deviennent utiles aux attaquants. Les éditeurs commerciaux investissent dans des garde-fous, des filtres et des dispositifs de surveillance interne, mais ces protections ne couvrent pas les modèles ouverts ou auto-hébergés.

Ce que cette première fois ouvre comme avenir

Le seuil franchi a déjà des conséquences pratiques. Les équipes de sécurité de plusieurs grands groupes, en France comme aux États-Unis, ont commencé à intégrer dans leurs procédures la détection des marqueurs de code généré, et à durcir les politiques d’accès aux modèles publics depuis leurs réseaux internes. Le débat public sur la responsabilité des éditeurs se déplace en parallèle : ce sont moins les capacités brutes des modèles qui inquiètent que la difficulté à tracer leur usage réel.

Reste à voir ce que cette dynamique va produire à moyen terme. Si la prochaine génération de modèles divise par dix le coût d’écriture d’un exploit, la barrière à l’entrée s’effondre pour des acteurs qui ne disposaient pas, hier, des compétences nécessaires. Vous avez tout intérêt à remettre à plat vos propres hygiènes numériques : revoir l’usage du second facteur d’authentification, surveiller les comptes à privilèges et tester régulièrement la résistance de vos outils internes aux scénarios issus de modèles d’IA.

Donnez votre avis

Soyez le 1er à noter cet article

Vous aimez cet article ? Partagez !

Plus d'informations

Nous contacter
Plan du site
Politique de rédaction
Politique de confidentialité
Mentions légales

Nos thématiques populaires

Copyright ©Nikopik 2026