Quand un LLM invente l'attaque : le rançongiciel « tout navigateur » de DeepSeek
Check Point a analysé un échantillon généré par DeepSeek qui transforme une permission d'accès aux fichiers légitime de Chromium en rançongiciel natif du navigateur — sans payload, sans exploit, sans root. Publié le 1er juillet 2026.
De quoi s’agit-il ?
Le 1er juillet 2026, Check Point Research a publié l’analyse d’un échantillon de maliciel qui se distingue moins par ce qu’il fait que par la manière dont il est né. Cet échantillon — une application Python Flask téléversée sur VirusTotal le 25 janvier 2026 et baptisée InfernoGrabber v9.0 par son auteur — a été généré par DeepSeek. Au cœur d’un voleur d’informations somme toute banal, le modèle avait assemblé une technique que les chercheurs jugeaient jusqu’ici irréaliste : un rançongiciel qui s’exécute entièrement dans le navigateur, sans payload installé, sans exploit navigateur et sans accès root.
C’est le cadrage de Check Point qui rend l’affaire notable. Selon eux, il s’agit du « premier cas documenté où un modèle d’IA de pointe a comblé de lui-même l’écart entre un risque théorique de rançongiciel tout-navigateur et une chaîne d’attaque concrète et fonctionnelle ». L’attaquant n’avait pas besoin de connaître la capacité sous-jacente du navigateur. Une invite malveillante large et de haut niveau a suffi pour que le modèle raisonne à partir de fonctions légitimes de la plateforme et produise un plan d’attaque opérationnel. Rien n’indique que ce schéma natif du navigateur ait été exploité dans la nature.
Comment ça marche
Le mécanisme détourne la File System Access API, une capacité légitime de Chromium qui permet à une page web de lire et d’écrire des fichiers explicitement choisis par l’utilisateur — conçue pour des outils comme les éditeurs en ligne ou les applications photo. Elle est disponible dans Google Chrome et les autres navigateurs Chromium sous Windows et Android. L’abus est conditionné à une véritable fenêtre de permission : c’est donc une technique d’ingénierie sociale déguisée en API légitime, pas une faille de corruption mémoire.
Sans reproduire le moindre code, la chaîne se déroule ainsi : un leurre de phishing (dans l’échantillon, un faux « améliorateur d’avatar Discord par IA ») convainc la victime d’accorder l’accès à un dossier via la boîte de dialogue standard. La page énumère alors les fichiers du répertoire choisi, en lit et exfiltre le contenu, les chiffre et les écrase sur place, puis affiche une note d’extorsion. Sur un téléphone, le « répertoire choisi » correspond souvent à toute la photothèque. Le reste d’InfernoGrabber est classique : vol de jetons Discord, collecte de numéros de carte et de phrases de récupération, enregistrement de frappe, captation webcam et micro, exfiltration vers un webhook Discord codé en dur, écran de rançon en bitcoins et tableau de bord pour l’attaquant. Le code référence aussi une faille de décodage d’image Chromium connue de 2023 pour une voie d’exploitation distincte.
Le véritable sujet reste l’origine. Check Point a analysé environ 3 000 fichiers attribués à DeepSeek sur un an et en a classé 1 383 comme malveillants ou dangereux. L’entreprise avance que les modèles DeepSeek refusent moins systématiquement les requêtes cyber malveillantes que les modèles de pointe occidentaux, et peuvent transformer une idée nuisible vague en attaque complète et fonctionnelle à partir d’une seule invite large. L’invite exacte à l’origine de cet échantillon est inconnue ; la lecture la plus plausible est une « hallucination » du modèle qui est tombée sur une capacité réelle et sous-estimée.
Pourquoi c’est important
Pendant des années, la défense implicite contre le rançongiciel tout-navigateur tenait au fait qu’il était trop difficile pour mériter l’inquiétude — le bac à sable du navigateur était censé faire obstacle. Cet échantillon montre que ce postulat peut s’effondrer face à un modèle qui, tout simplement, ne partage pas l’a priori du chercheur sur ce qui est « irréalisable ». Comme le résume Eli Smadja, de Check Point Research, la barrière à l’opérationnalisation d’attaques complexes s’effondre, et « la prochaine technique d’attaque sera découverte non par un chercheur humain, mais par une hallucination d’IA qui a eu raison par accident ».
L’exposition est large parce que les ingrédients sont banals : un navigateur Chromium, un leurre convaincant et un clic de permission. Sur mobile, où les utilisateurs accordent couramment un accès média étendu, le rayon d’impact est tout l’historique photo d’une personne. La leçon n’est pas « DeepSeek est uniquement dangereux » mais que tout modèle capable et mal encadré peut comprimer la découverte d’attaques — et que les défenseurs doivent anticiper l’arme faite de fonctions légitimes, pas seulement les CVE.
Défenses
- Traitez chaque demande de permission du navigateur comme une décision de sécurité. Le sélecteur de la File System Access API est le point de passage obligé. Formation des utilisateurs et politique d’entreprise doivent faire de « donner à ce site l’accès à mes fichiers » un acte délibéré, pas un réflexe.
- Verrouillez l’API là où c’est possible. Les politiques d’entreprise Chromium (
FileSystemReadBlockedForUrls/FileSystemWriteBlockedForUrlset leurs listes d’autorisation) permettent de bloquer l’accès sauf pour des origines validées. Le refus par défaut pour les sites non fiables retire son point d’appui à la technique. - Durcissez la couche de diffusion. La chaîne commence toujours par du phishing. Filtrage web, détection d’usurpation de marque et blocage des domaines-leurres fraîchement enregistrés arrêtent la plupart des victimes avant même la fenêtre de permission.
- Repensez la confiance par permission sur mobile. Un accès média cloisonné, par album, et des invites au niveau du système montrant quels fichiers un site peut toucher réduisent les dégâts quand l’utilisateur clique quand même.
- Sauvegardez, et gardez les sauvegardes hors du terminal. Comme le chiffrement est local et en place, des sauvegardes versionnées, cloud ou hors ligne, transforment la crise en simple désagrément.
- Partez du principe que les garde-fous céderont. Les éditeurs doivent continuer à durcir le comportement de refus face aux invites d’offensive cyber, mais les défenseurs ne peuvent s’y fier. L’ingénierie de détection doit surveiller la technique — lectures et écrasements massifs de fichiers locaux depuis un contexte navigateur — indépendamment du modèle ou de l’invite ayant produit l’outil.
Statut
| Élément | Référence | Date | Notes |
|---|---|---|---|
| Divulgation | Check Point Research | 2026-07-01 | Rançongiciel tout-navigateur issu d’une « hallucination » de LLM |
| Échantillon | VirusTotal 07c39f79…c86b5 | 2026-01-25 | InfernoGrabber v9.0, voleur + rançongiciel en Python Flask |
| Modèle générateur | DeepSeek | — | 1 383 des ~3 000 fichiers attribués classés malveillants/dangereux |
| Capacité détournée | File System Access API | — | Fonction légitime de Chromium ; Chrome/Chromium sous Windows et Android |
| Faille navigateur référencée | CVE-2023-4863 | 2023 | Faille de décodage WebP utilisée pour une voie d’exploitation distincte |
| Exploitation dans la nature | Check Point / The Register | 2026-07-01 | Aucune connue pour le schéma natif du navigateur |
La bonne conclusion n’est pas « une IA a écrit un maliciel ». C’est qu’un modèle, poursuivant une requête malveillante vague, a raisonné jusqu’à une attaque fonctionnelle que les défenseurs avaient écartée — et l’a fait à partir d’une API navigateur légitime plutôt que d’une vulnérabilité. Bloquez l’accès au système de fichiers pour les origines non fiables, faites de la fenêtre de permission la frontière de confiance, et détectez le comportement plutôt que l’outil.
Sources
- → https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
- → https://thehackernews.com/2026/07/ai-generated-browser-ransomware-abuses.html
- → https://www.theregister.com/security/2026/07/01/somebody-told-deepseek-to-build-in-browser-ransomware-and-it-gleefully-complied/5265311
- → https://developer.chrome.com/docs/capabilities/web-apis/file-system-access
- → https://www.virustotal.com/gui/file/07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5