Google affirme avoir stoppé une attaque inédite : un groupe cybercriminel aurait utilisé l’IA pour découvrir et armer une faille zero-day capable de contourner la double authentification. Le cas reste limité, mais le signal est lourd. L’intelligence artificielle ne sert plus seulement à produire du phishing plus propre. Elle commence aussi à entrer dans le cœur technique de l’exploitation logicielle.
Une zero-day stoppée avant le passage à l’échelle
Google a identifié une vulnérabilité zero-day exploitée via un script Python contre un outil d’administration web open source très utilisé. L’attaque n’aurait pas été lancée à grande échelle. Le Google Threat Intelligence Group indique avoir travaillé avec l’éditeur concerné pour divulguer la faille et neutraliser l’opération avant son déploiement massif.
Le point clé n’est pas seulement le contournement de la 2FA. Il tient à la méthode. Google estime avec un haut niveau de confiance qu’un modèle d’IA a aidé à découvrir la faiblesse, puis à la transformer en outil exploitable.
Cette évolution prolonge un mouvement déjà visible dans l’écosystème technologique. Dans notre analyse sur Anthropic, Claude et la course au compute, nous expliquions que la puissance de calcul devient une infrastructure stratégique. Ici, la même puissance se retrouve côté offensif.
Google précise toutefois ne pas penser que Gemini ait été utilisé dans cette attaque. Cette nuance compte. L’entreprise parle d’un exploit probablement développé avec l’aide d’une IA, pas d’une attribution directe à son propre modèle.
Le vrai danger vient des failles logiques
La vulnérabilité ne ressemblait pas à un bug classique de mémoire ou à une simple mauvaise validation d’entrée. Selon Google, elle reposait sur une erreur de logique. Le logiciel contenait une exception de confiance codée en dur, en contradiction avec la logique normale d’authentification.
C’est précisément là que l’IA devient inquiétante. Les scanners traditionnels repèrent bien certains défauts visibles, les crashs ou les patterns connus. Des modèles avancés peuvent, eux, comparer plusieurs morceaux de logique et repérer une contradiction plus discrète.
Une faille logique peut dormir longtemps. Le logiciel semble fonctionner normalement. Les utilisateurs se connectent, les administrateurs font confiance aux contrôles, et personne ne voit l’exception dangereuse. Puis un modèle assez méthodique finit par relier les points.
Ce type de risque dépasse la simple cybersécurité d’entreprise. Il rejoint aussi les débats crypto sur les failles de conception, où une erreur dans une logique de signature, de permission ou de bridge peut coûter très cher. Les hacks crypto d’avril l’ont déjà montré : l’attaque cible souvent autant le raisonnement que le code.
La 2FA reste utile, mais ce n’est pas un mur absolu
Cette affaire ne signifie pas que la double authentification est morte. Elle reste une barrière essentielle contre le vol de comptes. Mais elle rappelle une réalité simple : une protection forte peut devenir fragile si la logique qui l’entoure est mal conçue.
Google indique que l’exploitation nécessitait d’abord des identifiants valides. L’attaque ne supprimait donc pas toutes les protections. Elle transformait plutôt un accès partiel en accès beaucoup plus dangereux.
Les attaques modernes avancent souvent comme cela. Elles ne cassent pas toujours la porte principale. Elles trouvent une exception, un chemin administratif, un ancien réglage ou une règle de confiance oubliée. Ensuite, elles s’en servent pour élargir l’accès.
Pour les entreprises, le message est brutal. Ajouter de la 2FA, du chiffrement ou des contrôles d’accès ne suffit plus. Il faut vérifier comment ces protections interagissent entre elles, surtout dans les outils internes et les dépendances open source.
L’IA offensive change de vitesse
Reuters rapporte que Google présente ce cas comme une première : des attaquants auraient utilisé l’IA pour découvrir une vulnérabilité inconnue et préparer son exploitation à grande échelle. Le groupe visé aurait voulu lancer une opération de masse, mais Google affirme l’avoir bloquée avant usage.
Cette bascule compte. Jusqu’ici, l’IA aidait surtout à accélérer des tâches déjà connues : écrire des leurres, traduire des messages, générer des variantes de malware ou automatiser de la reconnaissance. Dans ce dossier, elle entre dans une zone plus rare : la découverte de failles inconnues.
John Hultquist, analyste en chef chez Google Threat Intelligence Group, a prévenu que ces signaux pourraient n’être qu’une partie d’un phénomène plus large. Le cybercrime teste, rate, recommence. L’IA lui donne maintenant une cadence industrielle.
Cette cadence ne touche pas seulement les entreprises technologiques. Elle peut aussi affecter les exchanges, les protocoles crypto, les plateformes de paiement et les outils de finance numérique. Plus un système manipule de la valeur, plus une faille logique devient intéressante.
Mythos rappelle la puissance nouvelle des modèles de code
Le dossier cite aussi un débat plus large autour des modèles capables d’analyser du code à grande profondeur. Google Cloud a présenté Claude Mythos, un modèle d’Anthropic disponible en aperçu privé sur Vertex AI, comme un outil orienté vers les charges de travail complexes en entreprise.
Il ne faut pas mélanger les deux sujets. Google ne dit pas que Mythos a servi directement dans cette attaque. Le modèle sert plutôt de contexte : les IA spécialisées dans le raisonnement sur le code deviennent plus puissantes, plus accessibles et plus utiles pour examiner de grands systèmes.
Cette puissance est ambivalente. Elle peut aider les développeurs à corriger plus vite. Elle peut aussi aider des attaquants à trouver plus vite ce que les équipes internes n’ont pas vu.
Une course entre attaque et défense
La bonne nouvelle existe malgré tout. Google affirme avoir stoppé l’opération avant son lancement massif. Cela montre que l’IA ne favorise pas seulement les attaquants. Elle peut aussi renforcer les défenseurs, accélérer la recherche de vulnérabilités et améliorer la réponse aux incidents.
Mais l’équilibre reste fragile. Les entreprises utilisent des outils d’administration, des dépendances open source et des systèmes hérités parfois mal documentés. Chaque couche devient une surface d’analyse pour des modèles plus puissants.
Le vieux code paraît donc plus exposé qu’avant. Non parce qu’il est soudainement devenu pire, mais parce que de nouveaux outils savent mieux le lire. Les exceptions temporaires, les raccourcis historiques et les décisions de confiance anciennes deviennent des cibles plus visibles.
La conclusion est simple. L’IA ne crée pas seulement de nouveaux risques. Elle rend visibles des risques anciens, enfouis dans des choix de développement ordinaires. Google vient peut-être d’arrêter une attaque. Le signal envoyé au marché est plus vaste : la cybersécurité entre dans une phase où la vitesse comptera autant que la solidité.
En bref
- Google affirme avoir bloqué une zero-day probablement développée avec l’aide de l’IA.
- La faille visait un contournement de la 2FA sur un outil d’administration web open source.
- Le risque principal vient des failles logiques, plus difficiles à repérer avec les scanners classiques.
- L’affaire montre que l’IA offensive dépasse désormais le simple phishing automatisé.
