Google et plusieurs laboratoires de cybersĂ©curitĂ© tirent la sonnette dâalarme : des groupes de hackers étatiques chinois exploitent Gemini, lâIA gĂ©nĂ©rative â notamment â pour automatiser la reconnaissance de vulnĂ©rabilitĂ©s, planifier des attaques et dĂ©passer les dĂ©fenses traditionnelles, donnant naissance Ă une nouvelle Ăšre de cybermenace. Pendant ce temps lâintelligence artificielle promet de rĂ©volutionner la cybersĂ©curitĂ© dĂ©fensive, de rĂ©centes analyses montrent quâelle accĂ©lĂšre encore plus rapidement les offensives.
𧏠đ AI offensive : une arme Ă double tranchant
Lâannonce repose sur un constat fondĂ© : des comptes liĂ©s Ă des groupes de hackers Ă motivation Ă©tatique ont utilisĂ© Google Gemini pour construire des âexperts virtuelsâ chargĂ©s de chercher des failles, tester des exploits et planifier des attaques ciblĂ©es sur des organisations amĂ©ricaines â le tout avec une rapiditĂ© et une Ă©chelle difficilement Ă©galables par des humains seuls.Â
Lâan dernier, des cybercriminels chinois ont commencĂ© Ă exploiter Gemini pour soutenir leurs opĂ©rations, indique Google dans son rapport AI Threat Tracker, publiĂ© ce jeudi 12 fĂ©vrier 2026. Ce document repose sur les enquĂȘtes du Google Threat Intelligence Group (GTIG), lâĂ©quipe interne spĂ©cialisĂ©e dans lâidentification et lâanalyse des menaces. DâaprĂšs Google, plusieurs comptes associĂ©s Ă ces acteurs malveillants ont utilisĂ© Gemini afin dâĂ©tudier des vulnĂ©rabilitĂ©s et de prĂ©parer des cyberattaques contre des organisations amĂ©ricaines Ă la fin de lâannĂ©e. Le groupe prĂ©cise que ces offensives ciblaient « des entitĂ©s spĂ©cifiques situĂ©es aux Ătats-Unis ».
đ En substance : lâIA nâest plus seulement un outil dâaide Ă la dĂ©fense ou Ă la dĂ©tection â elle sâinfiltre dĂ©sormais au cĆur du processus offensif, rĂ©duisant le dĂ©lai entre dĂ©couverte dâune vulnĂ©rabilitĂ© et exploitation malveillante.
đ đ§âđ» Lâavantage des attaquants dans la course technologique
Contrairement Ă une croyance rĂ©pandue, les attaquants nâattendent pas que les dĂ©fenseurs soient prĂȘts. Selon les rapports de Google et dâautres sources spĂ©cialisĂ©es, des groupes venant de Chine, de CorĂ©e du Nord ou dâIran intĂšgrent lâIA dans presque toutes les phases de leurs campagnes : reconnaissance, dĂ©veloppement de code malveillant, automatisation de scans et ingĂ©nierie sociale sophistiquĂ©e.
Câest un changement de paradigme :
- 𧠠Automatisation des phases initiales : plus besoin dâanalystes pour cartographier les rĂ©seaux cibles â lâIA le fait en quelques minutes.
- âïžÂ Couplage avec des outils offensifs spĂ©cialisĂ©s : des frameworks comme Hexstrike permettent Ă des modĂšles comme Gemini dâorchestrer des centaines dâoutils de compromis.Â
- âĄÂ Vitesse de dĂ©ploiement : ce qui prenait des semaines peut maintenant ĂȘtre fait en heures ou moins.
𧚠đ Un âprochain coup durâ dĂ©jĂ en marche
Google ne parle pas dâune menace hypothĂ©tique, mais dâun phĂ©nomĂšne dĂ©jĂ observĂ©. Les experts de son Google Threat Intelligence Group (GTIG) rapportent que des campagnes dâespionnage ont clairement intĂ©grĂ© des agents dâIA gĂ©nĂ©ratifs pour automatiser des tĂąches traditionnellement manuelles.
âĄïž MĂȘme si certaines de ces attaques nâont pas immĂ©diatement abouti Ă des intrusions rĂ©ussies, le simple fait que des attaquants expĂ©rimentent et peaufinent ces mĂ©thodes est alarmant. Ă terme, lâautomatisation complĂšte de lâoffensive pourrait faire basculer la cybersĂ©curitĂ© vers un modĂšle oĂč les lignes entre recherche de vulnĂ©rabilitĂ©s dĂ©fensives et reconnaissance offensive sont brouillĂ©es.
đ„ đ”ïž Une menace qui ne vient pas dâun seul acteur
Ce nâest pas seulement la Chine :
- des groupes iraniens et nord-coréens exploitent des modÚles similaires pour amplifier leurs opérations,
- des campagnes dâespionnage alimentĂ©es par lâIA ont rĂ©cemment Ă©tĂ© repĂ©rĂ©es par dâautres fournisseurs de sĂ©curitĂ©,
- et des techniques avancĂ©es comme le model extraction permettent Ă des adversaires de cloner ou reproduire des capacitĂ©s de modĂšles propriĂ©taires pour leurs propres outils offensifs.Â
đĄïž đ° DĂ©faillance de la posture dĂ©fensive traditionnelle
Lâironie tragique est que les architectures de cybersĂ©curitĂ© bien Ă©tablies sont conçues pour rĂ©pondre Ă des attaques menĂ©es par des humains ou des outils scripts basiques, pas Ă une confrontation potentiellement symĂ©trique entre IA dĂ©fensive et IA offensive.
Les points de friction actuels :
- 𧠠DĂ©tection plus lente que lâattaque : lâIA offensive peut gĂ©nĂ©rer des vecteurs dâattaque Ă une vitesse inatteignable pour les dĂ©fenses humaines.
- đ§Ș AmbiguĂŻtĂ© entre recherche lĂ©gitime et recherche malveillante : difficile pour les systĂšmes de triager si lâIA scanne un rĂ©seau pour un audit ou pour un exploit.Â
- đ§°Â DĂ©pendance aux outils non supervisĂ©s : sans supervision humaine adĂ©quate, les modĂšles peuvent produire des recommandations dangereuses sans filtre.
𧩠đŻ Vers une nouvelle doctrine de cybersĂ©curitĂ©
Pour les Ă©quipes SOC et XDR modernes, ce nâest plus une option : il faut intĂ©grer lâIA comme un adversaire, pas seulement comme un assistant. Cela implique :
đ„ Automatisation dĂ©fensive renforcĂ©e â pour rĂ©pondre Ă la vitesse de lâoffensive.
đ§ IA explicable et traçable â pour Ă©viter les dĂ©tournements ou biais.
đ DĂ©tection comportementale orientĂ©e IA â pour distinguer usage lĂ©gitime et malveillant de lâIA.
đ€ Collaboration humain + IA â lâhumain reste le superviseur, pas seulement lâutilisateur.
đš Conclusion : lâIA ne sera pas quâun sauveur
LâintĂ©gration de lâIA dans les arsenaux offensifs nâest plus thĂ©orique â elle est opĂ©rationnelle, multi-acteur et dĂ©jĂ en train de transformer la guerre cybernĂ©tique. Tant que les dĂ©fenseurs considĂšreront lâIA comme un simple outil dâaide, ils laisseront aux attaquants lâavantage stratĂ©gique de lâautomatisation et de la vitesse.
La course nâest plus Ă qui a la meilleure IA, mais Ă qui sait orchestrer et maĂźtriser lâIA de façon responsable, rĂ©siliente et proactive.
