Google a déclaré lundi 11 mai 2026 qu’un groupe de hackers avait utilisé l’intelligence artificielle pour découvrir puis exploiter une vulnérabilité zéro-day dans un outil open source d’administration de systèmes utilisé par des millions de personnes. L’attaque visait à contourner une protection à deux facteurs et à ouvrir l’accès à un compte avec un simple mot de passe.
Le Google Threat Intelligence Group a présenté ce cas comme sa première identification formelle d’un acteur malveillant ayant développé un exploit zéro-day avec l’aide de l’IA. Selon le rapport AI Threat Tracker, la faille permettait de passer outre l’invite du second facteur, y compris par SMS ou via une application dédiée, sans jamais déclencher la vérification qui devait normalement bloquer l’accès.
Le groupe de sécurité a refusé de nommer le logiciel concerné pour des raisons de sécurité, mais a décrit une erreur de conception logique plutôt qu’un bogue classique. Les développeurs avaient supposé que toute personne atteignant l’étape de vérification du second facteur avait déjà prouvé son identité à l’étape précédente. Les attaquants ont trouvé un chemin alternatif leur permettant d’atteindre cette étape sans s’être authentifiés au préalable.
Dans le script Python utilisé pour exploiter la faille, les chercheurs ont relevé des indices de style jugés caractéristiques d’un modèle de langage. Google a précisé qu’il ne s’agissait pas de Gemini et que l’identité du système d’IA utilisé restait inconnue. Les pirates prévoyaient des attaques simultanées contre de nombreux systèmes exécutant le même logiciel vulnérable, mais des erreurs dans l’implémentation ont compromis leur plan avant qu’ils ne puissent agir.
Google est intervenu à temps, a averti l’éditeur du logiciel et un correctif a été déployé. Ce détail compte, car la vulnérabilité touchait un outil web d’administration largement diffusé, et ce type de faille logique peut échapper aux scanners de sécurité traditionnels. L’épisode montre aussi que l’IA n’accélère pas seulement la défense: elle peut aussi rendre les opérations offensives plus rapides et plus discrètes.
John Hultquist, analyste chez Google Threat Intelligence Group, a averti que pour chaque zéro-day que l’on peut relier à l’IA, il y en a probablement beaucoup d’autres. Il a ajouté que des groupes liés à la Chine, à la Corée du Nord et à la Russie utilisent eux aussi l’IA pour accélérer la recherche de vulnérabilités ou pour dissimuler des logiciels malveillants dans des couches de code bénin généré automatiquement.
Google dit utiliser la même technologie comme outil de défense, notamment avec son agent Big Sleep, conçu pour repérer des vulnérabilités. La nouvelle publication intervient alors que les entreprises de cybersécurité cherchent à comprendre si l’IA abaisse désormais le seuil d’entrée pour des attaques plus complexes, y compris contre des systèmes essentiels déjà sous pression. Pour les défenseurs, la leçon est brutale: un correctif rapide peut stopper un incident, mais il ne change pas le fait que l’IA a déjà servi à fabriquer une arme numérique plus vite que prévu.
