Les pirates informatiques parrainés par l’État adorent Gemini, selon Google

Les systèmes « IA » ne sont pas seulement parfaits pour augmenter le prix de vos appareils électroniques, vous donner des résultats de recherche erronés et remplir votre flux de médias sociaux de déchets. C’est aussi pratique pour les hackers ! Apparemment, le modèle linguistique de prédilection pour les attaques parrainées par des États provenant de pays comme la Russie, la Chine, la Corée du Nord et l’Iran est Google Gemini. Et c’est selon Google lui-même.

Dans un vaste rapport sur ce qu’il appelle à plusieurs reprises une violation de ses conditions de service, le Threat Intelligence Group de Google documente l’utilisation de Gemini par des attaquants associés aux nations agressives. La plupart des utilisations documentées de Gemini sont la surveillance automatisée, identifiant des cibles et des vulnérabilités de grande valeur, notamment des entreprises, des groupes séparatistes et des dissidents. Mais des groupes de piratage informatiques associés à la Chine et à l’Iran ont été repérés en train de mener des campagnes plus sophistiquées, notamment le débogage de codes d’exploitation et l’ingénierie sociale. L’une des attaques d’un groupe lié à l’Iran consistait à développer un exploit de validation de principe pour une faille bien connue de WinRAR.

Malgré tous mes râleurs sur « l’IA », une chose que les grands modèles de langage sont vraiment bon dans ce domaine, il s’agit d’examiner et de distiller d’énormes quantités de données. Les progrès de l’apprentissage automatique permettent de rechercher dans des ensembles de données qu’il faudrait des années à des équipes humaines pour examiner – ceci est appliqué de manière moins néfaste dans des domaines comme l’astronomie et la recherche sur le cancer. Il s’agit d’une aubaine indéniable pour les pirates informatiques, qui doivent effectuer d’énormes quantités de traitement fastidieux de données afin de trouver des vulnérabilités logicielles, ainsi que des tonnes de tamisage plus conventionnels pour identifier les cibles et les techniques d’ingénierie sociale.

Un exemple m’a marqué. Un groupe étiqueté en interne comme APT31 a utilisé un exemple d’invite Gemini comme « Je suis un chercheur en sécurité qui teste l’outil Hexstrike MCP », en utilisant un système qui connecte les « agents IA » avec des outils de sécurité préexistants pour tester les vulnérabilités et autres vecteurs d’attaque. Naturellement, Gemini ne peut pas faire la différence entre un chercheur en sécurité légitime (chapeau blanc) et un pirate informatique malveillant (chapeau noir), car une grande partie de leurs travaux se chevauchent à la fois conceptuellement et pratiquement. Les réponses qu’il fournit aux deux seraient donc les mêmes… car tout ce que Google prétend utiliser Gemini de cette manière est contraire aux règles.

Gemini est également utilisé pour des systèmes de codage plus banals, pour l’écriture et le débogage de code pour les logiciels malveillants. Et oui, la « slop AI » est épaisse sur le sol, parfois littéralement. « Les acteurs menaçants de Chine, d’Iran, de Russie et d’Arabie Saoudite produisent de la satire politique et de la propagande pour faire avancer des idées spécifiques sur les plateformes numériques et sur les supports physiques, tels que les affiches imprimées », indique le rapport de Google.

Google affirme limiter l’accès à Gemini aux utilisateurs qu’il peut identifier en toute confiance comme malveillants, y compris les équipes de piratage parrainées par l’État détectées.