3 min de lecture
Premier zero-day fabriqué par IA : Google déjoue un projet d'attaque de masse
Le 11 mai, Google a confirmé que des hackers ont utilisé un LLM pour construire un exploit zero-day ciblant la double authentification d'un outil web populaire.
Premier zero-day fabriqué par IA : Google déjoue un projet d'attaque de masse
Le 11 mai 2026, le Google Threat Intelligence Group (GTIG) a rendu public un cas sans précédent : des acteurs malveillants ont utilisé un grand modèle de langage pour découvrir et construire un exploit zero-day. C'est la première fois que l'usage offensif d'une IA est confirmé dans la chaîne complète de développement d'une attaque, de la découverte de la faille à l'écriture du code d'exploitation.
La faille et ce qu'elle permet
La vulnérabilité cible un outil d'administration web populaire en open source. Elle prend la forme d'un script Python et permet de contourner l'authentification à deux facteurs (2FA), le mécanisme de protection le plus répandu pour sécuriser les accès administrateurs. Google a refusé de nommer le logiciel concerné, le groupe criminel impliqué ou le modèle de langage utilisé.
Le GTIG précise avoir perturbé l'opération avant son déploiement à grande échelle. Selon les termes du rapport, les attaquants planifiaient "un événement d'exploitation de masse" grâce à cette faille. Le code produit présentait toutes les caractéristiques associées à du code généré par un LLM : structure cohérente, commentaires explicatifs, absence d'erreurs de syntaxe grossières.
Ce qui distingue cet incident des cas précédents, c'est la complétude de la chaîne. L'IA n'a pas seulement aidé à rédiger du code : elle a participé à la découverte de la vulnérabilité elle-même.
L'IA au service de l'attaque : un seuil est franchi
John Hultquist, analyste en chef au GTIG, a déclaré : "Pour chaque zero-day dont nous pouvons retracer l'origine jusqu'à l'IA, il y en a probablement d'autres." Le rapport M-Trends 2026 de Mandiant, publié quelques semaines plus tôt, signalait déjà que 28,3 % des failles connues sont exploitées dans les 24 heures suivant leur divulgation publique, avec un délai moyen de 10 heures entre publication et exploit fonctionnel.
L'usage de l'IA pour l'exploitation n'est pas seulement une question de vitesse. Les modèles de langage permettent à des attaquants moins expérimentés d'accéder à des capacités jusqu'ici réservées aux groupes criminels les plus sophistiqués ou aux opérateurs étatiques. La barrière technique s'effrite. Ce n'est pas Gemini qui a été utilisé dans ce cas, précise le rapport, mais l'identité du modèle reste inconnue.
Face à cette évolution, le projet Glasswing d'Anthropic, qui mobilise douze entreprises pour détecter des zero-days de façon proactive, prend une dimension nouvelle : la défense automatisée par IA devient une nécessité face à une attaque désormais elle aussi automatisée.
Ce que ça signifie pour vous
Pour les équipes de développement et les administrateurs systèmes, cet incident est un signal concret. Deux points de vigilance s'imposent : la vitesse d'exploitation des failles s'est encore comprimée, et la sophistication de l'attaquant n'est plus un critère fiable pour évaluer le risque. La rapidité d'exploitation, déjà illustrée en avril par la faille LMDeploy compromise en moins de 13 heures, est maintenant amplifiée par des outils d'IA accessibles à tous.
Maintenir ses outils à jour, activer une surveillance active du réseau et ne pas dépendre uniquement de la 2FA comme dernier rempart sont des mesures qui prennent un sens renouvelé après ce rapport.
Sources : Bloomberg · CNBC · The Hacker News · The Register · BleepingComputer