Google a confirmé que des attaquants ont utilisé l'intelligence artificielle pour concevoir un exploit zero-day capable de contourner l'authentification à deux facteurs. Cette divulgation, faite par l'équipe de sécurité de l'entreprise, marque l'un des premiers cas documentés où l'IA a été directement employée pour construire une vulnérabilité jusqu'alors inconnue.
L'attaque pilotée par l'IA
Les enquêteurs ont indiqué que l'exploit ciblait une faille dans un système non divulgué. Contrairement aux méthodes de piratage traditionnelles, les attaquants semblent avoir utilisé des modèles d'apprentissage automatique pour générer un code qui a contourné les défenses existantes et trompé les mécanismes d'authentification à deux facteurs. Google n'a pas précisé quels produits d'authentification ont été affectés ni combien d'utilisateurs ont pu être impactés.
L'authentification à deux facteurs est largement considérée comme une couche de sécurité critique. En exigeant une deuxième étape de vérification — souvent un code envoyé par téléphone ou généré par une application — elle vise à empêcher les intrus qui ont volé un mot de passe. Cet exploit a rendu cette protection inutile.
Ce que Google fait
L'entreprise a déclaré avoir corrigé la vulnérabilité et surveille les tentatives similaires. Elle n'a pas divulgué de détails techniques, invoquant le risque d'attaques imitatives. Les équipes de sécurité chez Google analysent désormais le code généré par l'IA pour comprendre comment le modèle a été entraîné et quelles données il a utilisées.
Cette confirmation intervient alors que l'industrie de la sécurité est aux prises avec l'évolution rapide des menaces pilotées par l'IA. Si les défenseurs utilisent l'apprentissage automatique depuis des années, cet incident montre que les attaquants adoptent les mêmes outils pour trouver et exploiter les faiblesses plus rapidement qu'auparavant.
Questions sans réponse
On ne sait pas si les pirates étaient parrainés par un État ou faisaient partie d'un groupe criminel. Google a refusé de dire quand l'exploit a été découvert ou combien de temps il est resté actif. L'entreprise n'a pas non plus indiqué si des données clients ont été volées.
Cette affaire soulève une question plus large : combien d'exploits similaires générés par l'IA existent déjà, non détectés ? Pour l'instant, les équipes de sécurité doivent rattraper leur retard face à une menace qui peut évoluer à la vitesse d'une machine.
