Google a stoppé le premier zero-day développé avec AI

Pour la première fois de l'histoire, Google a découvert une vulnérabilité zero-day développée par des cybercriminels à l'aide de l'intelligence artificielle. La menace était destinée à une attaque informatique coordonnée de grande ampleur, qui a été arrêtée avant son exécution.

Menace pour les administrateurs

Le Google Threat Intelligence Group (GTIG) a identifié une menace grave d'un groupe de cybercriminels qui prévoyaient d'utiliser une vulnérabilité zero-day pour contourner l'authentification à deux facteurs. La cible de l'attaque était un outil ouvert d'administration de systèmes web, largement utilisé dans le secteur d'entreprise. La vulnérabilité aurait permis un accès complet aux systèmes des administrateurs dans de nombreuses organisations.

Les cybercriminels préparaient une attaque coordonnée qui ciblerait plusieurs victimes simultanément. Ce n'était pas simplement le développement d'un seul exploit, mais une opération complète visant à l'exploitation massive. Selon le plan des attaquants, contourner la protection à deux facteurs ouvrirait la porte à tous les systèmes d'administration des organisations affectées.

Un tel scénario aurait pu entraîner la compromission de milliers d'entreprises.

Comment ils ont découvert l'implication de l'IA

Les chercheurs de Google ont trouvé des signes explicites dans le code source de l'exploit indiquant qu'il avait été créé avec l'aide d'un réseau de neurones. L'analyse du script Python a révélé des artefacts étranges typiques du contenu généré par LLM :

• Scores CVSS hallucinations — des valeurs incorrectes et inventées de gravité des vulnérabilités qui ne correspondent pas au risque réel
• Formatage structuré — le code était formaté dans un style de manuel, avec une régularité inhabituelle pour ce type d'exploit
• Style d'écriture étrange — caractéristique des grands modèles de langage dans les commentaires et la nomenclature des variables
• Logique inhabituelle — certains fragments du script contenaient des séquences étranges d'opérations qui fonctionnent mais semblent peu naturelles

Ces signes apparaissent lorsque les LLM génèrent du code pour des tâches spécialisées sans comprendre complètement le contexte de sécurité et les exigences d'exploitation. Les réseaux de neurones peuvent suivre la syntaxe, mais ne saisissent pas toujours la sémantique.

"Cela démontre une évolution dangereuse des menaces informatiques.

Si auparavant l'IA aidait principalement aux attaques de phishing de masse, elle aide maintenant à créer des exploits sérieux et ciblés," — notent les chercheurs de Google dans leur rapport.

Danger de l'abaissement de la barrière à l'entrée

C'est le premier cas documenté où l'IA générative a été utilisée pour développer un exploit zero-day. Auparavant, l'intelligence artificielle était appliquée dans les cyberattaques, mais principalement pour automatiser les campagnes de phishing, créer de faux profils et l'ingénierie sociale. Un exploit zero-day est un niveau de danger complètement différent.

La principale conséquence de cette découverte : la barrière à l'entrée pour développer des menaces informatiques graves est considérablement abaissée. Maintenant, les cybercriminels n'ont pas besoin d'embaucher des développeurs expérimentés connaissant l'architecture des applications web et les vulnérabilités. Ils peuvent simplement demander à ChatGPT, Claude ou un autre grand modèle de langage de l'aide avec le code d'exploit. Même si le code contient des erreurs (comme ces scores CVSS hallucinations), l'exploit restera fonctionnel et dangereux. Cela signifie que le nombre de menaces informatiques pourrait augmenter considérablement, car le développement devient plus accessible.

Ce que cela signifie pour les entreprises

La découverte de Google indique une accélération du cycle complet de développement des menaces informatiques. Les entreprises doivent maintenant réagir encore plus rapidement aux nouvelles vulnérabilités et appliquer les correctifs de niveau critique. Reporter l'application de correctifs pendant une semaine peut être dangereux. Pour les grandes organisations, cela signifie investir non seulement dans la sécurité du périmètre, mais aussi dans la surveillance des anomalies, la détection rapide du trafic suspect au sein du réseau et la préparation aux incidents. Les exploits développés par l'IA peuvent être moins sophistiqués, mais il y en aura plus, et ils émergeront plus rapidement.