Technologie

Une IA a écrit un exploit zero-day fonctionnel — Google l’a intercepté à temps

Une IA a écrit un exploit zero-day fonctionnel — Google l’a intercepté à temps
Susan Hill
13 mai 2026 - 19:03

L’exploit visait l’authentification à deux facteurs, l’étape de vérification qui protège la plupart des comptes auxquels on tient — courriel, banque, stockage en ligne, accès professionnels. La vulnérabilité, une faille de logique sémantique dans le code Python de l’outil, permettait à un attaquant disposant déjà d’identifiants volés de contourner la vérification 2FA en déclenchant une exception codée en dur que les développeurs n’avaient jamais voulu exposer. Google a identifié le bug, l’a signalé à l’éditeur pour qu’il publie un correctif, et a fait avorter l’attaque planifiée avant qu’elle ne commence. Ce qui rend cette découverte inédite, ce n’est pas le bug en soi, mais la manière dont il a été trouvé.

Les analystes de Google affirment que le code de l’exploit portait des empreintes claires d’un grand modèle de langage — docstrings de style tutoriel, formatage très structuré, style d’écriture qu’ils qualifient de hautement caractéristique des données d’entraînement d’un LLM. L’équipe a conclu avec un haut degré de confiance que c’est une IA, et non une personne travaillant seule, qui a porté l’essentiel du travail de découverte et de transformation en arme de la faille. L’entreprise touchée, le groupe criminel et le nom de l’outil n’ont pas été divulgués.

La nuance compte, car ce type de défaut est précisément celui que les machines n’étaient pas censées repérer. Les scanners classiques cherchent les plantages et les corruptions mémoire. Celui-ci était une contradiction entre la logique d’application du 2FA et une exception codée en dur — le genre de bug qu’un auditeur humain attentif pourrait détecter en relisant des milliers de lignes de code à la recherche d’incohérences. Les modèles de langage les plus avancés, note Google, savent désormais faire cette lecture contextuelle à des vitesses que nulle équipe d’audit ne peut tenir.

Un balayage de 380 000 applis construites avec l’IA en trouve des milliers sans aucune authentification

Le rapport décrit aussi un schéma plus large qui ne concerne pas les groupes criminels. Un cluster aligné sur Pékin et suivi sous le nom UNC2814 a recours à l’IA pour accélérer la recherche de vulnérabilités sur les objets connectés. APT45, un groupe nord-coréen, a soumis à un modèle des milliers de prompts répétitifs pour analyser de manière récursive les entrées du catalogue CVE et valider des preuves de concept. Opérateurs différents, technique identique : transformer le modèle en assistant de recherche infatigable.

Le récit de Google a des limites qu’il faut nommer. L’entreprise n’a révélé ni l’outil concerné, ni l’acteur de la menace, ni le calendrier du correctif, et invite ses lecteurs à se fier à son analyse interne pour la conclusion sur les empreintes d’IA. Aucune des confirmations tierces publiées cette semaine n’apporte un examen forensique indépendant du code de l’exploit. La conclusion de haute confiance est la parole de GTIG contre le silence du groupe criminel. Reste aussi vrai que la faille de fond — une exception codée en dur — est précisément le type d’oubli que des développeurs humains commettent depuis des décennies sans aide d’IA. Le modèle a sans doute accéléré la découverte ; la faille est plus ancienne que le système qui l’a trouvée.

Pour la plupart des utilisateurs, aucune action immédiate ne s’impose — le bug se loge dans des logiciels gérés par les équipes informatiques, pas dans les appareils personnels — mais l’implication est directe. Le périmètre défensif sur lequel on s’appuie, des gestionnaires de mots de passe aux authentifications uniques en entreprise, a été pensé contre des attaquants humains travaillant à vitesse humaine. Un attaquant assisté par IA lit une base de code comme un ingénieur expérimenté lit un paragraphe. Les défenseurs vont devoir apprendre à faire de même.

Ce qui est confirmé, c’est que l’éditeur concerné a été averti et publie un correctif. L’analyse globale a été publiée dans la série de renseignement sur les menaces de Google Cloud qui suit l’usage de l’IA en sécurité offensive, le 11 mai 2026. L’analyste en chef de Google sur ces sujets, John Hultquist, a déclaré à la presse les jours suivants que la course entre IA et défenseurs avait déjà commencé et n’était pas en gestation. Un rapport complémentaire sur les outils dopés à l’IA est attendu avant la fin du deuxième trimestre.

Plus comme ceci

Le Gambut Suncatcher : Plongée au cœur du plan de Google pour conquérir l’avenir de l’IA

Le Gambut Suncatcher : Plongée au cœur du plan de Google pour conquérir l’avenir de l’IA

ICARUS: Console Edition annoncé sur PlayStation 5 et Xbox Series

ICARUS: Console Edition annoncé sur PlayStation 5 et Xbox Series

Une Alliance Stratégique : ‘Talking Tom’ et ‘Miraculous’ Lancent un Crossover Multiplateforme

Une Alliance Stratégique : ‘Talking Tom’ et ‘Miraculous’ Lancent un Crossover Multiplateforme

Embarquez dans l’univers de Monster High avec MATTEL et OUTRIGHT GAMES

Embarquez dans l’univers de Monster High avec MATTEL et OUTRIGHT GAMES

TECNO et le photographe portraitiste Rankin font de chaque utilisateur du PHANTOM X2 un maître de la photographie

TECNO et le photographe portraitiste Rankin font de chaque utilisateur du PHANTOM X2 un maître de la photographie

‘Prince of Persia The Lost Crown’. Bande-annonce

‘Prince of Persia The Lost Crown’. Bande-annonce

Discussion

Il y a 0 commentaire.