Une première faille zero-day développée par IA pour contourner l'authentification multifacteur

Pour la première fois, un exploit zero-day conçu avec l’aide d’un modèle d’intelligence artificielle a été identifié, selon Cryptoast. Le Google Threat Intelligence Group (GTIG) a publié un rapport ce 11 mai 2026 détaillant cette vulnérabilité inédite, qui visait un outil d’administration système open-source largement utilisé en entreprise. L’attaque, déjouée à temps, permettait de contourner l’authentification multifacteur (2FA), une couche de sécurité essentielle pour protéger les accès sensibles, notamment dans le secteur des cryptomonnaies.

Une faille zero-day inédite, conçue avec l’aide d’un modèle d’IA

Le GTIG, division spécialisée de Google dédiée à la lutte contre les cybermenaces, a révélé dans un rapport publié aujourd’hui l’existence d’un exploit zero-day développé grâce à un modèle d’intelligence artificielle. Un zero-day désigne une vulnérabilité inconnue de l’éditeur du logiciel concerné, donc non corrigée au moment de l’attaque. Ces failles, particulièrement prisées des cybercriminels, permettent des attaques ciblées sans possibilité de défense préalable. Leur valeur peut atteindre plusieurs millions de dollars sur les marchés noirs, selon les estimations du secteur.

« Nous avons une haute confiance dans le fait que l’acteur malveillant a utilisé un modèle d’IA pour découvrir et exploiter cette faille », indique le GTIG dans son rapport. L’attaque a finalement été neutralisée avant toute exploitation massive, après que Google a alerté l’éditeur du logiciel concerné. Ce dernier a publié un correctif en urgence, empêchant ainsi une propagation généralisée de l’exploit.

Un outil d’administration système visé, avec un risque pour l’authentification multifacteur

La faille ciblait un outil d’administration système web open-source, largement déployé au sein des entreprises. Ce type de logiciel permet de configurer et de gérer à distance des serveurs, des sites web, des applications, ainsi que les permissions des comptes utilisateurs. L’exploit, rédigé en langage Python, avait pour objectif de contourner l’authentification multifacteur (2FA), une mesure de sécurité supplémentaire qui s’ajoute au mot de passe. Cette couche de protection est notamment utilisée par les plateformes d’échange de cryptomonnaies pour sécuriser les accès de leurs utilisateurs.

Pour réussir son attaque, le groupe cybercriminel avait cependant besoin de disposer au préalable d’identifiants valides. Selon le GTIG, la faille exploitée était une erreur logique, difficile à détecter par les outils classiques d’analyse de sécurité. En revanche, les grands modèles de langage, capables de raisonnement contextuel, ont montré leur capacité à identifier ce type de vulnérabilité. Google n’a pas communiqué le nom du logiciel concerné, ni celui du groupe d’attaquants, ni le modèle d’IA utilisé. L’entreprise a en revanche exclu de la liste ses propres outils, notamment son chatbot Gemini et le modèle Mythos développé par Anthropic.

L’IA offensive, une menace désormais bien réelle pour la cybersécurité

Les experts en cybersécurité redoutaient depuis des années l’émergence de ce scénario, où des cybercriminels utiliseraient l’intelligence artificielle pour découvrir et exploiter des failles zero-day. « C’est un avant-goût de ce qui nous attend », a déclaré John Hultquist, analyste en chef du GTIG, dans une interview accordée au New York Times. « Nous pensons que c’est la partie émergée de l’iceberg. »

Depuis février 2026, Google observe une accélération de l’adoption de l’IA par les acteurs malveillants. Le rapport du GTIG mentionne notamment des malwares autonomes comme PROMPTSPY, une backdoor pour systèmes Android qui exploite l’API de Gemini pour interagir avec l’interface utilisateur. D’autres exemples incluent des malwares liés à des acteurs russes, intégrant du code-leurre généré par IA. Les groupes étatiques chinois et nord-coréens manifestent également un intérêt marqué pour ces technologies, capables d’identifier des vulnérabilités dans des systèmes critiques.

Un enjeu majeur pour le secteur des cryptomonnaies

L’industrialisation de l’IA offensive interroge particulièrement le secteur des cryptomonnaies, où la sécurité des actifs repose en grande partie sur des protocoles robustes. Des chercheurs ont déjà démontré que des agents IA étaient capables de repérer des failles dans des smart contracts, ces programmes autonomes qui exécutent des transactions sur les blockchains. La découverte de cette faille zero-day conçue par IA souligne l’urgence de renforcer les mesures de protection, notamment pour les plateformes d’échange et les portefeuilles numériques.

En avril 2026, Anthropic avait d’ailleurs refusé de diffuser largement son modèle Mythos, jugé trop performant pour identifier des vulnérabilités. L’entreprise avait justifié sa décision par des risques pour la sécurité nationale, illustrant les tensions croissantes autour de l’utilisation de l’IA dans le domaine de la cybersécurité.

Cette première identification d’un exploit zero-day conçu par IA marque un tournant dans l’évolution des menaces cyber. Elle rappelle l’importance d’investir dans des solutions de détection avancées et de sensibiliser les utilisateurs aux bonnes pratiques de sécurité. Bref, l’ère de l’IA offensive est désormais bien entamée.