Le Groupe de Renseignement sur les Menaces de Google (GTIG) a publié un rapport alarmant le 11 mai : des hackers liés à des États et des acteurs criminels utilisent désormais l'IA à l'échelle industrielle. Pour la première fois, le groupe a repéré une exploitation de faille zero-day qu'il estime avoir été développée avec l'aide de l'IA. Et un nouveau logiciel malveillant nommé PROMPTSPY peut surveiller votre flux d'authentification et contourner l'authentification à deux facteurs en temps réel. Le message pour les utilisateurs de crypto est clair : la 2FA standard ne suffit plus.
Première exploitation zero-day assistée par IA
GTIG indique avoir identifié un acteur malveillant utilisant une exploitation zero-day qui a très probablement été construite avec de l'IA générative. L'exploitation était prévue pour un événement d'exploitation de masse, mais une contre-découverte proactive pourrait avoir empêché son déploiement. Le rapport ne nomme pas la vulnérabilité spécifique ni l'acteur derrière elle, mais cela marque un tournant. En février 2026, GTIG décrivait l'activité adversarial assistée par IA comme naissante et expérimentale. Désormais, l'évaluation est que les modèles génératifs sont intégrés dans les flux de travail offensifs à grande échelle.
PROMPTSPY : un malware qui surveille votre authentification
Le rapport détaille une capacité appelée PROMPTSPY — un malware activé par IA qui interprète dynamiquement les états du système et génère des commandes en temps réel pour manipuler les environnements des victimes. Parmi ses caractéristiques les plus alarmantes : la capacité d'effectuer des attaques temporelles contre l'authentification à deux facteurs basée sur SMS et sur application pendant les sessions en direct. Cela signifie qu'un utilisateur pourrait entrer un code 2FA, et le malware intercepte ou détourne la session avant que le code n'atteigne le service prévu. Un malware polymorphe qui se réécrit pour échapper à la détection a également été lié à des acteurs malveillants soupçonnés d'être liés à la Russie.
Pourquoi la 2FA standard ne suffit pas
La découverte de GTIG remet directement en question l'hypothèse selon laquelle un code à usage unique ou une notification push offre une sécurité adéquate. Si un malware peut observer et répondre aux flux d'authentification en temps réel, le deuxième facteur devient un handicap plutôt qu'un bouclier. Le rapport recommande des clés de sécurité matérielles, des dispositifs de signature hors ligne et des architectures de portefeuille multi-signatures pour les utilisateurs de crypto. Ces méthodes ne reposent pas sur un code observable sur le réseau qui peut être intercepté en temps réel.
Le rapport note également que des acteurs liés à des États associés à la Chine et à la Corée du Nord ont montré un intérêt significatif pour l'utilisation de l'IA dans la découverte de vulnérabilités. Cela suggère que le pipeline d'exploitation zero-day va probablement s'accélérer. Pour quiconque détient des crypto-monnaies ou gère des comptes sensibles, la fenêtre pour passer à une 2FA autre que par SMS vient de se réduire considérablement.
