Google confirme le premier cas de vulnérabilités zero-day découvertes à l'aide de l'IA à des fins criminelles
Le rapport GTIG AI Threat Tracker de Google a documenté la première exploitation criminelle créée avec l'IA qui a contourné l'authentification à deux facteurs. Il a également identifié un malware Android autonome exploitant Gemini.
L'IA a appris à casser les systèmes : comment Google a détecté le premier zero-day créé par une machine, et pourquoi ce n'est que le début
L'essentiel : ce qui se passe vraiment
Le 12 mai 2026 restera dans les manuels de cybersécurité comme le jour où la fiction policière est devenue réalité. Le groupe Google Threat Intelligence a publié un rapport documentant le premier cas confirmé d'une exploitation zero-day créée à l'aide de l'intelligence artificielle—non pas en laboratoire, ni à titre expérimental, mais dans le cadre d'un stratagème criminel actif visant l'exploitation massive d'une vulnérabilité dans un outil open-source d'administration système.
L'histoire est à la fois banale et alarmante. Un groupe criminel anonyme—ayant un historique d'intrusions très médiatisées—a utilisé un grand modèle de langage pour trouver et exploiter une vulnérabilité permettant de contourner l'authentification à deux facteurs. L'exploit devait servir de base à un « événement d'exploitation massive », mais Google est intervenu à temps : la vulnérabilité a été divulguée au développeur, et un correctif a été publié avant le début de l'attaque.
La raison pour laquelle Google est convaincu que l'IA a écrit le code, et non un humain, est cruciale. Le script Python contenait des docstrings « éducatives » dans un style manuel, des commentaires structurés typiques des sorties de LLM, et—le plus révélateur—un score CVSS halluciné que le modèle a inventé plutôt que de le tirer d'une base de données réelle. Un chercheur humain n'écrit pas de tels artefacts. C'est la signature de la machine.
Chronologie et contexte
Les événements de mai 2026 ne sont pas survenus dans le vide. Ils ont été précédés de mois d'escalade sur tous les fronts.
Août 2025 : ESET découvre PromptLock—le premier ransomware piloté par l'IA utilisant des modèles génératifs pour adapter les demandes à la victime. L'industrie voit la GenAI non pas comme un outil de développement mais comme une partie du code exécutable du malware.
Janvier 2026 : Les premiers échantillons du cheval de Troie Android VNCSpy sont téléchargés sur VirusTotal depuis Hong Kong. Le code est encore primitif—une porte dérobée VNC classique sans composant IA.
Février 2026 : Un mois plus tard seulement, un bond qualitatif. PromptSpy émerge, une évolution de VNCSpy, avec un module intégré pour interagir avec Gemini. Le malware utilise désormais l'API de Google pour interpréter l'interface de l'appareil infecté et naviguer de manière autonome sur l'écran. ESET détecte des échantillons téléchargés depuis l'Argentine. Le mécanisme fonctionne ainsi : le cheval de Troie prend un dump XML de l'écran, l'envoie à Gemini avec l'instruction « vous êtes un assistant d'automatisation Android », reçoit une réponse JSON avec les coordonnées tactiles, et les exécute. Le cycle se répète jusqu'à ce que la tâche soit terminée.
En parallèle, Google publie son rapport GTIG de février, qui documente pour la première fois que des groupes parrainés par des États de la RPDC et de la RPC utilisent l'IA dans toutes les phases des attaques—de la reconnaissance à la post-compromission. L'APT45 de la Corée du Nord exécute des milliers d'exploits via l'IA pour validation et mise à l'échelle de l'arsenal.
Mars 2026 : Le groupe TeamPCP compromet LiteLLM—une bibliothèque passerelle populaire pour travailler avec les LLM—via des paquets PyPI empoisonnés et des pull requests malveillantes. Les identifiants AWS et GitHub sont volés et monétisés via des partenariats de ransomware. C'est un nouveau vecteur : attaquer non pas le modèle lui-même, mais la couche d'intégration qui l'entoure.
Mai 2026 : Le rapport GTIG, publié le 12 mai, cristallise le tableau. Outre le zero-day, il documente : l'utilisation d'outils agentiques comme OpenClaw par le groupe chinois UNC2814 pour un balayage continu d'une entreprise technologique japonaise ; des jailbreaks basés sur des personas pour extraire des vulnérabilités RCE pré-authentification dans le firmware TP-Link des LLM ; des opérations d'influence russes avec de l'audio synthétique intégré dans des bulletins d'information réels.
Ce ne sont plus des incidents isolés mais un schéma.
Qui gagne et qui perd
Les perdants—évidemment—sont tous ceux qui administrent l'infrastructure web. La fenêtre entre la divulgation de la vulnérabilité et le début des attaques disparaît. Fortinet, dans un rapport parallèle, note que les tentatives d'exploitation commencent désormais dans les 24 à 48 heures suivant la divulgation, contre une moyenne de 4,76 jours auparavant. Au cours de l'année écoulée, le nombre de victimes de ransomware a augmenté de 389 %—passant de 1 600 à 7 831. C'est un monde où le patching doit avoir lieu le jour de la publication du CVE, et non dans le cadre d'un SLA hebdomadaire.
L'écosystème open-source perd. L'attaque a ciblé un outil d'administration open-source. La vulnérabilité sémantique que l'IA a trouvée était un défaut logique où le développeur a intégré une hypothèse de confiance dans le flux d'authentification, créant une contradiction avec la logique 2FA. Les scanners traditionnels recherchent les dépassements de tampon et les conditions de concurrence. Ils ne lisent pas le code comme un humain. Les LLM le lisent exactement de cette façon—et trouvent des erreurs dans l'intention, pas dans la syntaxe.
Les fabricants de téléphones perdent. PromptSpy n'a pas besoin de coordonnées spécifiques pour appuyer sur le bouton « épingler en mémoire » sur Android. Il demande à Gemini, et le modèle comprend : sur Samsung, le verrouillage des applications se fait par une pression longue ; sur Xiaomi, un balayage vers le bas ; sur Pixel, une icône de verrou. Le même malware fonctionne sur tous les appareils.
Google gagne. Ironiquement, l'entreprise dont le modèle Gemini est exploité par PromptSpy bénéficie de toute la situation. GTIG accumule du capital réputationnel en démontrant sa capacité à intercepter les attaques pilotées par l'IA à un stade précoce. Les outils de protection comme Big Sleep pour la découverte de vulnérabilités et CodeMender pour le patching automatique gagnent des preuves de demande.
Les attaquants prêts pour l'automatisation gagnent. Fortinet note : les tentatives de brute-force ont diminué de 22 %, mais les tentatives d'exploitation ont augmenté de 25,49 %. Ce n'est pas un déclin de l'activité mais un passage de la quantité à la qualité. L'accès à des outils comme WormGPT, FraudGPT et HexStrike AI abaisse la barrière à l'entrée, et les données volées par des infostealers (RedLine, Lumma, Vidar)—désormais 67 % de tous les ensembles de données vendus sur le dark web—fournissent du carburant pour des attaques ciblées.
Ce que les médias ne disent pas
Première idée : la vulnérabilité n'est pas technique mais sémantique—et c'est le cœur du problème. Pendant les trente années de l'industrie de la cybersécurité, nous avons construit des défenses autour de la recherche d'erreurs de syntaxe. Les fuzzers recherchent des plantages. Les analyseurs statiques recherchent des motifs. Aucun ne remarque une contradiction logique entre l'intention du programmeur et l'implémentation. Les LLM la remarquent—parce qu'ils voient la sémantique, le contexte, l'intention. Cela signifie que dans tout projet ayant une histoire de plus de cinq ans, il existe des vulnérabilités logiques inaperçues qu'aucun outil traditionnel ne peut voir. Le zero-day découvert par l'IA n'est pas une exception ; c'est le début d'une ruée vers l'or.
Deuxième idée : l'utilisation de l'IA à des fins criminelles rend les malwares imprévisibles, et donc invisibles pour les antivirus. L'antivirus traditionnel recherche des signatures, des schémas comportementaux, des séquences connues d'appels API. Mais si chaque instance de PromptSpy prend dynamiquement des décisions basées sur les réponses du LLM, son comportement varie dans des limites non couvertes par une base de règles concevable. ESET a attrapé PromptSpy grâce à un indicateur de débogage dans le code. La prochaine fois, l'indicateur sera supprimé, et la détection deviendra un ordre de grandeur plus difficile.
Troisième idée : la cible n'est pas l'outil mais l'IA elle-même. L'attaque TeamPCP LiteLLM révèle un nouveau modèle de menace. Compromettre une bibliothèque passerelle permet d'intercepter les identifiants de tous ceux qui utilisent des LLM via cet outil. C'est une attaque sur la chaîne d'approvisionnement de l'infrastructure autour des modèles. Si un attaquant obtient l'accès aux clés API d'un fournisseur de LLM, il peut utiliser l'abonnement payant de quelqu'un d'autre pour mettre à l'échelle ses propres attaques, en masquant complètement ses traces. GTIG déclare explicitement : les attaquants développent des middlewares professionnels pour un accès anonyme aux modèles premium avec rotation automatique des comptes.
Quatrième idée : le premier zero-day documenté est une erreur des criminels, pas un triomphe de la défense. Google a trouvé l'exploit en raison d'artefacts d'inexpérience : un CVSS halluciné, des commentaires « éducatifs ». Les itérations suivantes ne contiendront pas ces marqueurs. Des cas d'utilisation d'OpenClaw pour affiner les exploits générés par l'IA dans des environnements contrôlés avant le déploiement ont déjà été documentés. C'est l'industrialisation : le LLM écrit un brouillon, un humain révise et nettoie les artefacts.
Prévisions : les 30 et 90 prochains jours
30 jours (jusqu'à mi-juin 2026). La publication du rapport de Google déclenchera une vague d'audits dans l'industrie open-source. Les projets maintenant des interfaces d'administration web commenceront à recevoir des rapports de bugs d'un type inhabituel : « L'IA a trouvé une contradiction logique à la ligne 847. » Les développeurs de projets grand public (Jenkins, Grafana, GitLab) lanceront des revues internes spécifiquement pour les vulnérabilités sémantiques—la classe que personne n'a systématiquement recherchée auparavant.
Simultanément, sur les forums clandestins, une réévaluation aura lieu. Les exploits prêts à l'emploi avec des « hallucinations » dans le code seront réduits, tandis que la demande augmentera pour les spécialistes capables de nettoyer le code généré par l'IA de ses artefacts. Une nouvelle micro-spécialisation émergera dans l'écosystème criminel : « assainisseur d'exploits IA ».
Je m'attends à ce que dans les 30 jours, au moins un grand fournisseur (Microsoft, Cisco ou Palo Alto) annonce l'inclusion de l'analyse sémantique basée sur les LLM dans ses scanners de code. Ce sera une réponse directe à la menace décrite par GTIG.
90 jours (jusqu'à mi-août 2026). Les vulnérabilités sémantiques deviendront un vecteur grand public. Aujourd'hui, seul Google en parle. Dans trois mois, des recherches indépendantes de FireEye, CrowdStrike et de groupes académiques apparaîtront, cataloguant les types d'erreurs logiques que les LLM trouvent mieux que les humains. D'ici août, au moins 5 à 7 CVE découverts avec l'IA seront documentés—à la fois par les défenseurs et les attaquants.
À l'été 2026, lors de Black Hat et DEF CON, le sujet de la découverte de vulnérabilités pilotée par l'IA dominera l'ordre du jour. Je m'attends à au moins une présentation démontrant un pipeline automatisé : un LLM trouve une vulnérabilité, un framework agentique génère un exploit, un autre agent nettoie les artefacts, et un troisième déploie l'attaque. Pas comme une preuve de concept, mais comme une chaîne fonctionnelle.
La partie la plus désagréable : le modèle de monétisation des données volées va enfin évoluer vers l'analyse par l'IA. Les infostealers fournissent déjà 67 % du contenu des bases de données du dark web. À cela s'ajoutera la catégorisation automatique et la priorisation des victimes à l'aide des LLM : « voici une entreprise avec RDP ouvert et vCenter obsolète—probabilité de paiement de rançon 78 %, montant recommandé 400 000 $. » Cela élèvera le ransomware à un nouveau niveau d'efficacité économique.
Conclusion. Le 12 mai 2026 a documenté ce qui avait été annoncé pendant des années : le premier zero-day généré par l'IA. Mais ce n'est pas la ligne d'arrivée ; c'est le départ. La course a commencé—et les défenseurs devront apprendre à penser comme des LLM pour devancer ceux qui le font déjà. John Hultquist de GTIG l'a dit succinctement : « Il y a une idée fausse selon laquelle la course aux vulnérabilités de l'IA est inévitable. La réalité est qu'elle est déjà en cours. Pour chaque zero-day que nous pouvons attribuer à l'IA, il y en a probablement beaucoup d'autres que nous ne voyons pas. »
— Editorial Team
Aucun commentaire pour le moment.