Sponsorisé par Elser AI - Studio web tout‑en‑un qui transforme textes et images en art anime, personnages, voix et courts‑métrages.
Elser AI - Studio web tout‑en‑un qui transforme textes et images en art anime, personnages, voix et courts‑métrages.
icon
Outils d'IA Agents IA MCP Actualités IAClassement Soumettre et Annoncer
Connexion

AI News

Des pirates informatiques étatiques militarisent Google Gemini : une nouvelle ère de cybermenaces pilotées par l'IA

12 février 2026 – Dans une révélation importante qui souligne la nature à double tranchant de l'intelligence artificielle, le Groupe d'analyse des menaces de Google (Google’s Threat Intelligence Group - GTIG) et Google DeepMind ont publié un rapport complet détaillant comment des adversaires étatiques intègrent systématiquement Google Gemini dans leurs cycles de vie de cyberattaques.

Le rapport, publié aujourd'hui en amont de la Conférence de Munich sur la sécurité, met en évidence une tendance inquiétante : les groupes de menaces persistantes avancées (Advanced Persistent Threat - APT) de Chine, d'Iran et de Corée du Nord ont dépassé le stade de la simple expérimentation. Ces acteurs utilisent désormais activement l'IA générative (Generative AI) pour accélérer la reconnaissance, affiner les campagnes d'ingénierie sociale (social engineering) et même générer dynamiquement du code malveillant lors d'opérations actives.

Le virage opérationnel : de l'expérimentation à l'intégration

Depuis un an, la communauté de la cybersécurité met en garde contre le potentiel des grands modèles de langage (Large Language Models - LLMs) à abaisser la barrière à l'entrée pour les cybercriminels. Cependant, les dernières conclusions de Google confirment que des groupes sophistiqués parrainés par l'État exploitent ces outils pour améliorer leur efficacité et leurs capacités d'évasion.

Selon le rapport, l'utilisation de Gemini par ces groupes n'est pas monolithique. Différents acteurs ont adopté la technologie pour répondre à leurs objectifs stratégiques spécifiques, allant de la collecte approfondie de renseignement d'origine source ouverte (Open-Source Intelligence - OSINT) à la traduction en temps réel de leurres de phishing (hameçonnage).

John Hultquist, analyste en chef au GTIG, a noté que si les groupes nord-coréens et iraniens ont été les premiers à adopter l'IA pour l'ingénierie sociale, les acteurs chinois développent désormais des cas d'utilisation plus complexes et basés sur des agents pour rationaliser la recherche de vulnérabilités et le dépannage de code.

Profil des acteurs de menaces : comment les nations exploitent l'IA

Le rapport propose un examen granulaire de la manière dont des groupes APT spécifiques utilisent Gemini. Le tableau suivant résume les principaux acteurs et leurs méthodologies observées :

Résumé de l'exploitation de l'IA par les États-nations

Groupe de menace Origine Cibles principales Utilisation abusive de Gemini
APT42 (Charming Kitten) Iran Éducation, Gouv, ONG Traduction de leurres de phishing, affinement de personas d'ingénierie sociale et rédaction d'e-mails persuasifs.
UNC2970 Corée du Nord Défense et Aérospatiale Synthèse d'OSINT pour profiler des cibles de haute valeur ; usurpation d'identité de recruteurs d'entreprise.
TEMP.Hex (Mustang Panda) Chine Gouv et ONG (Pakistan/Europe) Compilation de données structurelles sur des organisations séparatistes et des individus spécifiques.
APT31 (Zirconium) Chine Secteurs industriels/politiques US Utilisation de « personas d'experts en cybersécurité » pour automatiser l'analyse de vulnérabilités et les plans de test.

Iran : Affiner l'art de la tromperie

APT42, un groupe historiquement associé au Corps des Gardiens de la révolution islamique (CGRI) d'Iran, a fortement intégré Gemini dans ses opérations d'ingénierie sociale. Connu pour cibler des chercheurs, des journalistes et des militants, APT42 utilise le modèle pour traduire du contenu et peaufiner la grammaire des e-mails de phishing, les rendant impossibles à distinguer d'une correspondance légitime.

En fournissant à Gemini des biographies de cibles, le groupe génère des prétextes sur mesure — des scénarios conçus pour instaurer une confiance immédiate. Cette capacité leur permet de combler les lacunes linguistiques et les nuances culturelles qui servaient auparavant de signaux d'alerte pour les victimes potentielles.

Corée du Nord : Reconnaissance à l'échelle industrielle

Pour le groupe nord-coréen UNC2970, l'IA sert de multiplicateur de force pour l'espionnage. Le groupe cible les secteurs de la défense et de l'aérospatiale, se faisant souvent passer pour des recruteurs légitimes afin de livrer des logiciels malveillants.

L'analyse de Google révèle qu'UNC2970 utilise Gemini pour extraire et synthétiser de vastes quantités de données provenant de sites de réseautage professionnel (tels que LinkedIn). L'IA les aide à cartographier les hiérarchies organisationnelles, à identifier le personnel technique clé et à rédiger des descriptions de poste hyper-réalistes utilisées dans des campagnes de spear-phishing (harponnage).

Chine : Recherche automatisée de vulnérabilités

Les acteurs chinois parrainés par l'État, notamment TEMP.Hex et APT31, ont démontré certaines des applications les plus techniques de la technologie. Ces groupes ont été observés utilisant Gemini pour dépanner leur propre code de logiciel malveillant et rechercher des vulnérabilités publiquement connues.

Dans un cas alarmant, un groupe chinois a utilisé Gemini pour simuler des « personas d'experts en cybersécurité ». Ces agents d'IA étaient chargés d'automatiser l'analyse des vulnérabilités logicielles et de générer des plans de test pour contourner les contrôles de sécurité sur des cibles basées aux États-Unis. Cela suggère une évolution vers des opérations offensives automatisées, où des agents d'IA assistent dans la phase de planification d'une intrusion.

L'essor des logiciels malveillants natifs de l'IA : « Honestcue »

La révélation la plus technique du rapport est sans doute la découverte de Honestcue, une souche de logiciel malveillant identifiée en septembre 2025. Contrairement aux logiciels malveillants traditionnels qui transportent leur charge utile malveillante, Honestcue fonctionne comme une enveloppe vide qui s'appuie sur le cloud.

Honestcue exploite l'API Google Gemini pour générer et exécuter dynamiquement du code C# malveillant en mémoire. En déchargeant la logique malveillante vers une réponse de l'IA, les attaquants atteignent deux objectifs :

  1. Obfuscation : Les outils antivirus traditionnels qui s'appuient sur l'analyse de fichiers statiques ont du mal à détecter la menace car le code malveillant n'existe pas tant que l'IA ne l'a pas généré.
  2. Polymorphisme : Le code généré par l'IA peut varier légèrement à chaque exécution, compliquant la détection basée sur les signatures.

Cette approche de « vie sur le terrain » (living off the land) — où le « terrain » est désormais un service d'IA basé sur le cloud — représente une évolution significative dans le développement de logiciels malveillants.

L'écosystème « Jailbreak » et le vol de modèles

Au-delà de l'espionnage étatique, le rapport met en lumière l'économie souterraine croissante du « Jailbreak en tant que service » (Jailbreak-as-a-Service). Des cybercriminels commercialisent des outils prétendant être des modèles d'IA personnalisés et non censurés, mais qui ne sont souvent que des surcouches autour d'API commerciales comme Gemini ou OpenAI.

Un tel outil, Xanthorox, se présente comme une IA privée et auto-hébergée pour générer des rançongiciels (ransomwares) et des logiciels malveillants. L'enquête de Google a cependant révélé que Xanthorox se contente de router les requêtes à travers des instances débridées (jailbroken) de modèles légitimes, supprimant les filtres de sécurité pour fournir du contenu malveillant.

De plus, des groupes motivés par l'appât du gain mènent de plus en plus d'attaques par extraction de modèle (Model Extraction Attacks - MEAs). Ces « attaques par distillation » consistent à sonder systématiquement un modèle mature comme Gemini pour extraire ses schémas d'entraînement, volant ainsi la propriété intellectuelle pour entraîner des modèles clones plus petits et moins chers. Bien que cela ne compromette pas les données des utilisateurs, cela pose une menace sérieuse pour l'avantage concurrentiel des développeurs d'IA.

La défense de Google et la voie à suivre

En réponse à ces conclusions, Google a pris des mesures agressives, désactivant tous les comptes et actifs identifiés associés aux groupes APT mentionnés dans le rapport. L'entreprise a souligné que, bien que les adversaires utilisent Gemini pour la génération de contenu et l'assistance au codage, il n'y a aucune preuve que la sécurité du modèle Gemini lui-même ait été compromise.

« Pour les acteurs de menaces soutenus par les gouvernements, les LLMs sont devenus des outils essentiels pour la recherche technique, le ciblage et la génération rapide de leurres de phishing nuancés », indique le rapport.

Creati.ai note que ce développement signale un changement permanent dans le paysage des menaces. À mesure que les modèles d'IA deviennent plus multimodaux et autonomes, le délai entre la découverte d'une vulnérabilité et son exploitation continuera de se réduire. L'intégration de l'IA dans les opérations cybernétiques offensives n'est plus un risque théorique — c'est la nouvelle norme d'engagement.

Pour les équipes de sécurité en entreprise, cela nécessite un pivot vers des systèmes de détection basés sur le comportement capables d'identifier les anomalies générées par l'IA, plutôt que de s'appuyer uniquement sur des indicateurs statiques de compromission. Alors que la course aux armements entre les attaquants assistés par l'IA et les défenseurs pilotés par l'IA s'accélère, l'intégrité de la chaîne d'approvisionnement de l'IA elle-même deviendra probablement le prochain champ de bataille majeur.

12 février 2026
Google GeminiCybersécuritéSécurité de l'IAGroupes APTHackers étatiques
therecord.media
infosecurity-magazine.com
Vedettes