Les chercheurs en cybersécurité ont allumé un éclairage d'alarme sur une nouvelle façon d'abuser des assistants d'intelligence artificielle : convertir leurs capacités de navigation web ou de récupération des URL en canaux de contrôle et de contrôle silencieux (C2) qui sont mélangés avec le trafic légitime d'une entreprise. La technique, testée par des chercheurs contre des services tels que Microsoft Copilot et xAI Grok, a été documentée par Vérifier le point sous le nom «AI comme mandataire C2».
Le cœur du problème est simple et en même temps troublant: quand un assistant IA peut accéder au web ou récupérer du contenu à partir d'une URL, ce comportement légitime peut être redirigé vers le transport des instructions malveillantes et des données exfilter. Une équipe d'attaquants doit d'abord avoir compromis une machine - par phishing, vulnérabilité non patched ou tout autre vecteur classique - et installé un logiciel malveillant qui invoque l'assistant IA avec des indications conçues pour lui pour récupérer le contenu de l'infrastructure contrôlée par l'attaquant. La réponse que l'assistant offre peut contenir des commandes ou des fragments de code que les logiciels malveillants fonctionnent localement, fermant ainsi un canal de contrôle bidirectionnel qui est difficile à distinguer du trafic autorisé.
La menace ne se limite pas à l'exécution d'ordres précis; les chercheurs avertissent que le même axe peut être utilisé comme moteur de décision externe. L'agresseur peut envoyer des informations du système engagé sur le modèle et demander non seulement des commandes, mais aussi des stratégies d'évasion, des étapes de reconnaissance supplémentaires ou une décision sur la question de savoir s'il vaut la peine de continuer à utiliser cet équipement. En d'autres termes, IA peut agir comme une couche supplémentaire d'automatisation et de prise de décision pour des campagnes plus sophistiquées, en approchant ce que les experts appellent les opérations de type AIOps C2.
Ce qui rend cette technique particulièrement problématique, c'est que les tests décrits ne nécessitent pas de clé API ou de compte enregistré. Cela signifie que les réponses malveillantes peuvent passer par les paramètres des services publics sans passer par les pouvoirs des victimes ou des fournisseurs contrôlés, ce qui limite l'efficacité des mesures d'atténuation traditionnelles, comme la révocation de clés ou la suspension de comptes.
Cet abus de services de confiance rappelle d'autres modalités que les agresseurs ont utilisées depuis des années pour cacher leurs activités dans des canaux légitimes - une famille de techniques auxquelles ils ont été appelés vivant hors des sites de confiance (LOTS)- Oui. Ce n'est pas un phénomène isolé : des semaines auparavant, l'équipe de l'unité 42 de Palo Alto Networks a démontré comment un site web apparemment inoffensif peut consulter un modèle de langue en temps réel pour générer du JavaScript malveillant assemblé et exécuté sur le client, permettant ainsi de créer des pages d'hameçonnage dynamiques. Le rapport de l'unité 42 sur cette méthode est disponible sur votre site: Malicieuse en temps réel JavaScript via les LLM.
Il y a aussi des similitudes conceptuelles avec les techniques dites « Last Mile Reassembly » (MRL), où l'attaquant envoie des fragments de malware par des canaux non surveillés (par exemple WebRTC ou WebSocket) et les reproduit dans le navigateur de la victime, en évitant les contrôles de sécurité réseau. Une analyse des LMR peut être trouvée à l'adresse suivante: cette exploration technique et rappelle que les vecteurs qui mélangent comportement légitime et assemblage dans le temps de fonctionnement sont difficiles à atténuer si les contrôles se concentrent uniquement sur la signature ou la réputation du domaine.
Qu'est-ce que cela signifie pour les entreprises et les administrateurs de la sécurité? Premièrement, les modèles IA et leurs capacités de navigation ne sont pas seulement des outils de productivité : ce sont de nouveaux services sur le réseau qui nécessitent une gouvernance et des contrôles spécifiques. Aveugler le périmètre classique n'est plus suffisant si les attaquants peuvent faire voyager leurs communications sur des routes qui semblent légitimes. Pour relever ce défi, il est nécessaire de combiner des mesures techniques et politiques : limiter la capacité de navigation des assistants IA dans des environnements sensibles, appliquer des contrôles d'évacuation qui enregistrent et permettent d'auditer les appels aux services de modèles linguistiques, et utiliser la segmentation du réseau pour réduire la portée d'une équipe engagée. En outre, les contrôles des paramètres devraient évoluer pour identifier les comportements suspects - tels que les processus qui invoquent les interfaces Web de l'IA puis exécutent les commandes reçues - et ne pas compter uniquement sur la détection de signature.
Au niveau de la prévention, l'adoption de listes d'autorisation pour les domaines critiques ou les API, la surveillance des enregistrements DNS et la corrélation entre l'activité des modèles IA et télémétrie du paramètre peuvent aider à détecter les anomalies. Les organisations devraient également exiger des fournisseurs de solutions d'AI qu'ils accroissent la transparence et les mécanismes permettant de limiter les utilisations anormales, comme une authentification plus stricte pour les capacités de navigation, des limites au rejet de contenu arbitraire et des mécanismes de traçabilité pour permettre aux équipes de sécurité d'enquêter sur les incidents. Pour leur part, les politiques internes devraient clairement définir quels assistants IA sont autorisés et avec lesquels permet; dans les environnements à risque élevé, il peut être préférable de désactiver la fonction de recherche / navigation dans les assistants d'entreprise.
La communauté de la sécurité fait déjà face à des scénarios similaires d'autres optiques : MITRE et les cadres de menace décrivent des techniques où les adversaires réutilisent des outils environnementaux légitimes pour leur bien, ce qui renforce l'idée que la détection fondée sur la réputation est insuffisante ( voir MITRE ATT & CK sur la vie hors-terre). Parallèlement, les conclusions d'organisations telles que Check Point et l'unité 42 montrent que la frontière entre les services « fiables » et les voies d'attaque devient floue.
Bref, nous sommes confrontés à une nouvelle couche de risque où les modèles IA peuvent servir à la fois à accélérer les attaques et à les camoufler. Ce n'est pas une apocalypse technologique, mais un appel à mettre à jour les pratiques de défense, de gouvernance et d'éducation. Traiter les participants à l'IV comme un nouveau type de service réseau, avec des contrôles, un suivi et des politiques clairs, sera essentiel pour les empêcher de devenir des relais de campagnes malveillantes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...