AI-Developed 2FA Exploit
Des chercheurs en cybersécurité ont découvert un acteur malveillant jusqu'alors inconnu exploitant une faille zero-day, vraisemblablement développée grâce à l'intelligence artificielle. Il s'agit du premier cas documenté d'utilisation active de l'IA dans des opérations malveillantes réelles pour la découverte de vulnérabilités et la génération d'exploits.
Les enquêteurs attribuent cette campagne à des groupes de cybercriminels coordonnés qui semblent avoir collaboré à une vaste opération d'exploitation de vulnérabilités. L'analyse de la chaîne d'attaque associée a révélé une faille zero-day intégrée à un script Python, capable de contourner l'authentification à deux facteurs (2FA) d'une plateforme d'administration système web open source largement utilisée.
Bien qu'aucune preuve directe ne relie l'outil d'IA Gemini de Google à cette opération, les chercheurs ont conclu avec une quasi-certitude qu'un modèle d'IA a joué un rôle déterminant dans la découverte et l'exploitation de la faille. Le code Python présentait plusieurs caractéristiques typiques des résultats générés par les grands modèles de langage (LLM), notamment une mise en forme très structurée, une documentation pédagogique exhaustive, des menus d'aide détaillés et une implémentation soignée des couleurs ANSI. Le script contenait également un score CVSS falsifié, un exemple courant d'hallucination de l'IA.
Table des matières
Comment fonctionnait la faille de contournement de l’authentification à deux facteurs
La vulnérabilité identifiée nécessitait des identifiants utilisateur valides pour fonctionner correctement. Les chercheurs ont déterminé que cette faille provenait d'une faiblesse de la logique sémantique due à une hypothèse de confiance intégrée au code du processus d'authentification de l'application. Ce type de faille logique de haut niveau est de plus en plus facilement détectable par les systèmes LLM modernes.
Les experts en sécurité alertent sur le fait que l'IA accélère considérablement chaque étape du cycle de vie des cyberattaques, de la découverte des vulnérabilités à la validation des exploits et à leur déploiement opérationnel. L'utilisation croissante de l'IA par les acteurs malveillants réduit le temps et les efforts nécessaires pour identifier les failles et lancer des attaques, ce qui accroît la pression sur les équipes de défense.
L’IA élargit le paysage des logiciels malveillants et de l’exploitation
L'intelligence artificielle ne se limite plus à l'aide à la recherche de vulnérabilités. Les acteurs malveillants l'utilisent désormais pour concevoir des logiciels malveillants polymorphes, automatiser des opérations malveillantes et dissimuler leurs fonctionnalités d'attaque. PromptSpy, un logiciel malveillant Android qui exploite Gemini pour analyser l'activité à l'écran et émettre des instructions lui permettant de rester visible dans la liste des applications récentes, en est un exemple frappant.
Les chercheurs ont également documenté plusieurs cas très médiatisés impliquant des activités malveillantes assistées par Gemini :
Le groupe d'espionnage informatique UNC2814, soupçonné d'être lié à la Chine, aurait utilisé des techniques de jailbreak basées sur l'usurpation d'identité pour contraindre Gemini à se faire passer pour un expert en sécurité réseau. L'objectif était de faciliter la recherche de vulnérabilités ciblant les systèmes embarqués, notamment les firmwares TP-Link et les implémentations du protocole de transfert de fichiers OFTP (Odette File Transfer Protocol).
Le groupe de cybercriminels nord-coréen APT45 aurait émis des milliers d'invites récursives conçues pour analyser les CVE et valider des exploits de preuve de concept.
Le groupe de pirates informatiques chinois APT27 aurait utilisé Gemini pour accélérer le développement d'une application de gestion de flotte probablement destinée à gérer une infrastructure de boîte de relais opérationnelle (ORB).
Des opérations d'intrusion liées à la Russie et ciblant des organisations ukrainiennes ont déployé des familles de logiciels malveillants assistées par l'IA connues sous le nom de CANFAIL et LONGSTREAM, qui intégraient toutes deux un code leurre généré par LLM pour dissimuler un comportement malveillant.
Données d’entraînement militarisées et opérations d’IA autonomes
Des acteurs malveillants ont également été observés en train d'expérimenter avec un dépôt GitHub spécialisé nommé « wooyun-legacy », conçu comme un plugin de compétences de code Claude. Ce dépôt contient plus de 5 000 cas de vulnérabilités réelles, initialement collectés par la plateforme chinoise de divulgation de vulnérabilités WooYun entre 2010 et 2016.
En intégrant cet ensemble de données aux systèmes d'IA, les attaquants peuvent activer l'apprentissage contextuel, qui permet aux modèles d'analyser le code source avec la précision d'experts en sécurité. Ceci améliore considérablement la capacité de l'IA à identifier des failles logiques subtiles que les modèles standards pourraient négliger.
Des chercheurs ont également révélé qu'un acteur malveillant présumé, lié à la Chine, a utilisé des outils d'IA automatisés tels que Hexstrike AI et Strix lors d'attaques contre une entreprise technologique japonaise et une importante plateforme de cybersécurité d'Asie de l'Est. Ces outils auraient permis des opérations de reconnaissance et de découverte automatisées avec une intervention humaine minimale.
Les implications croissantes de l’IA offensive en matière de sécurité
Ces conclusions soulignent une évolution majeure du paysage des cybermenaces. L'IA, initialement un outil de productivité, se transforme rapidement en un véritable multiplicateur de force pour les cyberopérations offensives. De la découverte des vulnérabilités zero-day à l'automatisation du déploiement de logiciels malveillants et à l'amélioration de la furtivité opérationnelle, l'intelligence artificielle modifie en profondeur la façon dont les cyberattaques sont planifiées et exécutées.
À mesure que les capacités cybernétiques basées sur l'IA continuent de gagner en maturité, les organisations sont confrontées à un avenir où les attaques deviennent plus rapides, plus adaptatives et de plus en plus difficiles à détecter avant que des dommages ne surviennent.
