Des zero-days générés par IA et des malwares autonomes dans la nature
Le rapport de menace de Google (mai 2026) documente le premier zero-day fabriqué par un attaquant avec l'IA, et un malware qui interroge un modèle à l'exécution pour décider de ses actions.
De quoi s’agit-il ?
Le 11 mai 2026, le Google Threat Intelligence Group (GTIG) a publié son dernier AI Threat Tracker, suite de son rapport de février 2026, appuyé sur les investigations Mandiant, la télémétrie d’abus de Gemini et les recherches propres du GTIG. Deux constats ressortent. Premièrement, le GTIG affirme avoir observé — pour la première fois — un acteur utilisant l’IA à la fois pour découvrir et armer un zero-day. Deuxièmement, il détaille un malware dont la logique n’est plus embarquée sous forme de code statique : il interroge un modèle de langage à l’exécution pour décider de la suite.
Le rapport parle d’une transition « d’opérations balbutiantes assistées par IA vers l’application à échelle industrielle des modèles génératifs dans les chaînes d’attaque ». Pour les défenseurs, le signal utile n’est pas la panique mais la précision : le rapport montre exactement comment les attaquants branchent les modèles dans leur outillage, ce qui indique où regarder.
Comment ça marche
Le cas du zero-day implique des acteurs criminels préparant une opération d’exploitation de masse. Selon le GTIG, un modèle d’IA a vraisemblablement servi à identifier une faille puis à produire un script Python contournant l’authentification à deux facteurs d’un outil d’administration système open source, très répandu et accessible via le web. Le GTIG a travaillé avec l’éditeur pour divulguer et corriger la faille avant le lancement de la campagne. Fait notable, le rapport précise que ni Gemini ni le modèle de classe Mythos d’Anthropic n’ont été le modèle employé par l’attaquant.
L’intérêt de ce cas tient à l’indice forensique. Le GTIG a jugé l’exploit généré par IA en raison d’empreintes stylistiques dans le code : une abondance de docstrings pédagogiques, une structure « Pythonic » de manuel avec menus d’aide détaillés, et — l’indice décisif — un score CVSS halluciné inséré dans le script. Un développeur humain n’invente pas une note de sévérité pour son propre zero-day ; un modèle entraîné sur des write-ups de vulnérabilités, si, parce que c’est ce que contient d’ordinaire le texte environnant.
Le cas du malware autonome est la porte dérobée Android que le GTIG suit sous le nom de PROMPTSPY. Elle contient un module baptisé « GeminiAutomationAgent » qui exécute un prompt codé en dur avec une persona bénigne. À l’exécution, le malware sérialise la hiérarchie de l’interface visible du terminal dans un format proche de XML via l’API d’accessibilité, l’envoie au modèle gemini-2.5-flash-lite par une requête HTTP POST en mode JSON, et reçoit une réponse JSON structurée qui dicte ses actions suivantes vers un objectif donné. Le modèle devient le cerveau de commande et contrôle, interprétant l’état réel du terminal au lieu de suivre un script figé. Le GTIG documente des familles évasives apparentées (PROMPTFLUX, HONESTCUE) qui recourent aux modèles pour se modifier ou s’obfusquer dynamiquement, attribuées à des acteurs soupçonnés d’être liés à la Russie.
Le rapport recense aussi des usages de soutien : des acteurs liés à la RPC et à la RPDC pratiquant le prompting par persona d’expert — un cluster demandant à un modèle d’agir en « auditeur sécurité senior » ou « expert en sécurité binaire C/C++ » pour étudier des cibles embarquées — et l’expérimentation d’un dépôt empaqueté en plugin de compétence pour agent de code, regroupant une base de connaissances distillée de plus de 85 000 cas réels de vulnérabilités. Enfin : un accès obfusqué aux modèles premium via des intermédiaires et du recyclage de comptes, et l’opération d’influence pro-russe « Operation Overload » générant des médias synthétiques à grande échelle.
Pourquoi c’est important
La phrase la plus utile vient de John Hultquist, analyste en chef du GTIG : « On croit à tort que la course à la vulnérabilité par IA est imminente. En réalité, elle a déjà commencé. Pour chaque zero-day que nous pouvons relier à l’IA, il y en a probablement bien d’autres. »
Deux bascules comptent pour les défenseurs. Le constat sur le zero-day comprime le calendrier : on passe de « un modèle peut suggérer des idées d’exploit » à « un modèle a produit un exploit armé et fonctionnel, intégré à un plan opérationnel ». Le constat sur le malware autonome brise une hypothèse ancienne de détection : l’analyse statique et les signatures fonctionnent en partie parce que le malware transporte sa logique. Quand cette logique réside dans un modèle hébergé et arrive en JSON à l’exécution, l’échantillon sur disque est plus mince et son comportement se décide ailleurs — et peut changer d’une exécution à l’autre.
Rien de tout cela ne signifie que l’IA a créé une nouvelle classe d’attaque imparable. La campagne de contournement de la 2FA a été détectée et stoppée avant usage, et l’usage le plus courant des modèles par les attaquants reste la recherche et le dépannage banals. Le message est directionnel : l’IA abaisse la barrière et augmente la vitesse, donc l’attaquant marginal gagne en capacité.
Défenses
La moitié encourageante du rapport, c’est que ces mêmes capacités jouent dans les deux sens. Google indique utiliser des agents IA comme Big Sleep pour trouver des vulnérabilités et CodeMender pour aider à les corriger automatiquement, et c’est sa découverte proactive qui a perturbé la campagne du zero-day. Les défenseurs devraient traiter la recherche de vulnérabilités et la génération de correctifs assistées par IA comme un socle, non comme une nouveauté.
Face à un malware qui raisonne à l’exécution comme PROMPTSPY, l’endpoint du modèle est le point de passage obligé. Puisque la porte dérobée dépend de l’accès à un modèle hébergé pour recevoir ses instructions, le contrôle des flux sortants est décisif : surveillez et restreignez les connexions sortantes vers les API de modèles depuis des postes qui n’ont aucune raison d’en émettre, et traitez comme fortement suspect le couple usage inattendu de l’API d’accessibilité + appel LLM sortant. Le trafic de C2 a une forme de modèle — échanges JSON objectif/réponse — ce qui donne à l’ingénierie de détection un point d’appui concret.
Face au code d’exploit généré par IA, l’indice du CVSS halluciné se généralise : les artefacts écrits par un LLM portent des résidus stylistiques (docstrings sur-commentés, structure de manuel, métadonnées fabriquées). Signaux faibles pris isolément, mais utiles en triage, et à consigner comme heuristiques de détection plutôt qu’à écarter. Plus largement, considérez l’atténuation d’abus des fournisseurs de modèles comme un maillon de votre chaîne d’approvisionnement : les intermédiaires d’accès premium obfusqué existent précisément pour déjouer les contrôles côté fournisseur, si bien que les signaux d’abus de comptes remontés par les éditeurs constituent du renseignement actionnable.
Enfin, les détails sur le prompting par persona des acteurs étatiques rappellent que les jailbreaks « persona d’expert » restent une technique vivante contre les modèles assistants ; durcir les agents de code intégrés à des outils contre ce cadrage relève du même travail défensif qui protège les utilisateurs légitimes.
Statut
Il s’agit d’un rapport de renseignement sur les menaces décrivant des comportements adverses observés, non d’une vulnérabilité produit unique dotée d’un identifiant. Le zero-day développé par IA a été divulgué de façon responsable et corrigé avant tout déploiement ; le GTIG n’a pas nommé l’outil d’administration concerné.
| Élément | Détail |
|---|---|
| Source | Google Threat Intelligence Group, « GTIG AI Threat Tracker » |
| Publication | 11 mai 2026 (suite du rapport GTIG de février 2026) |
| Constat majeur | Premier cas observé d’un attaquant utilisant l’IA pour découvrir et armer un zero-day |
| Cible du zero-day | Contournement de 2FA d’un outil d’administration système web open source (non nommé) |
| Indices de génération IA | Docstrings pédagogiques, structure Pythonic de manuel, score CVSS halluciné |
| Malware autonome | PROMPTSPY (Android) — module « GeminiAutomationAgent » pilotant les actions via gemini-2.5-flash-lite à l’exécution |
| Familles évasives | PROMPTFLUX, HONESTCUE (auto-modification dynamique, soupçonnées liées à la Russie) |
| Outillage défensif cité | Big Sleep (découverte de vulnérabilités), CodeMender (correction automatisée) |
Les deux sources datent de moins de 90 jours. Le constat est mesuré mais réel : l’IA est désormais à la fois une arme et une cible dans des opérations en cours, et les défenses les plus durables — contrôle des flux sortants, signaux d’abus des fournisseurs, correction assistée par IA et durcissement des assistants contre les jailbreaks par persona — prolongent des pratiques que les défenseurs connaissent déjà, appliquées à un adversaire plus rapide.