Le Google Threat Intelligence Group (GTIG) publie son dernier rapport » AI Threat Tracker « , dans lequel il signale la découverte et la neutralisation d’un exploit zero-day dont le développement a été assisté par une IA. Une première en la matière.
Des acteurs malveillants prévoyaient une exploitation de masse de la vulnérabilité sans correctif qui affectait un outil d’administration système open source basé sur le Web. Elle aurait permis de contourner l’authentification à deux facteurs.
Des indices pour l’implication de l’IA
Les chercheurs du GTIG ont repéré des indices révélateurs dans le script Python utilisé pour l’exploit.
Le code présentait une mise en forme structurée » digne d’un manuel scolaire « , et caractéristique des données d’entraînement des grands modèles de langage (LLM). Le script incluait des éléments inhabituels pour un code humain, y compris un » score CVSS halluciné « , une note de gravité que l’IA semble avoir inventée.
» Nous sommes pratiquement certains que l’acteur a probablement tiré parti d’un modèle d’IA pour faciliter la découverte et l’exploitation de cette vulnérabilité. » Le GTIG précise qu’il ne s’agirait pas de Gemini.
L’IA pour armer des vulnérabilités de sécurité
La vulnérabilité a été classée de type contournement de l’authentification à deux facteurs, même si elle nécessite au préalable des identifiants utilisateur valides. Elle ne découle pas d’erreurs d’implémentation, mais d’une faille de logique de haut niveau.
L’application repose sur une hypothèse de confiance codée en dur, qui considère à tort l’utilisateur comme entièrement authentifié avant que la seconde étape de vérification ne soit effectivement réalisée.
Pas davantage de détails pour une découverte qui matérialise une crainte pour les experts en cybersécurité, avec l’IA pour découvrir et armer des vulnérabilités. La menace ne se limite pas aux groupes cybercriminels. Des acteurs étatiques ont montré leur intérêt pour l’IA à des fins de piratage.
Une dualité avec l’IA et les failles
Paradoxalement, l’IA est aussi présentée comme un outil puissant pour les défenseurs. Anthropic a notamment surfé sur cette tendance pour faire la promotion de Mythos, afin de débusquer et corriger des failles avant qu’elles ne soient exploitées. Cela peut impliquer de limiter l’accès aux outils les plus puissants à des équipes de cybersécurité vérifiées.