Voici le tour d’horizon hebdomadaire des actualités à l’intersection de l’intelligence artificielle et de la cybersécurité : avancées technologiques, vulnérabilités, usages malveillants, réglementations et initiatives stratégiques à suivre.
Faits marquants de la semaine
- La police européenne souhaite utiliser l’IA pour lutter contre le crime, mais des obstacles réglementaires freinent ces initiatives.
- Un verdict partagé a été rendu dans l’affaire Getty Images contre Stability AI, avec des victoires partielles de chaque côté.
- Des vulnérabilités dans ChatGPT permettent à des attaquants de voler des données et de contrôler la mémoire de l’IA.
- Microsoft a découvert une attaque « Whisper Leak » qui identifie les sujets de conversation des IA via le trafic chiffré.
Dans le domaine de la cybersécurité, les avancées technologiques et les vulnérabilités continuent de se croiser, révélant des enjeux complexes pour les entreprises et les utilisateurs. Cette semaine, des questions de propriété intellectuelle, des failles de sécurité dans les modèles d’IA, et des attaques sophistiquées sur les réseaux chiffrés ont marqué l’actualité. Les défis posés par l’utilisation de l’intelligence artificielle par les forces de l’ordre, les litiges juridiques autour de l’IA générative, et les nouvelles formes de cyberattaques soulignent l’importance d’une vigilance constante et d’une adaptation rapide aux menaces émergentes. Ce tour d’horizon met en lumière les incidents récents et les développements technologiques qui façonnent le paysage actuel de la cybersécurité.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La police européenne cherche à intégrer l’intelligence artificielle dans ses outils pour lutter contre la criminalité, mais se heurte à des obstacles réglementaires. Les initiatives pour utiliser l’IA sont freinées par la complexité administrative et les préoccupations en matière de protection des données. Europol, l’agence de police de l’Union européenne, est en première ligne pour promouvoir l’adoption de ces technologies avancées. Cependant, le cadre législatif actuel rend difficile l’exploitation pleine et entière des capacités de l’IA dans les enquêtes criminelles. Selon Politico, ces défis soulignent la nécessité d’une réforme pour permettre une utilisation efficace de l’IA tout en respectant les droits des citoyens. La capacité de l’IA à analyser de grandes quantités de données pourrait révolutionner les méthodes policières, mais sans un cadre adapté, son potentiel reste limité.
En janvier 2023, Getty Images a intenté un procès contre Stability AI, alléguant l’utilisation non autorisée de millions de ses photographies pour entraîner le modèle d’IA Stable Diffusion. Après deux ans de procédure, le 4 novembre 2025, la Haute Cour britannique a rendu un verdict partagé. Getty a remporté une victoire partielle en prouvant l’infraction de marque, notamment par l’utilisation de ses filigranes dans les images générées. Cependant, Stability AI a prévalu sur les principales revendications de droits d’auteur, Getty ayant abandonné ces accusations en raison de difficultés probatoires et juridictionnelles. Comme le détaille Hackread, cette affaire met en lumière les défis juridiques entourant l’utilisation de l’IA et la protection de la propriété intellectuelle. Le jugement souligne l’importance de clarifier les lois sur l’entraînement des modèles d’IA avec des données protégées.
Tenable Research a découvert sept failles de sécurité dans ChatGPT, y compris GPT-5, permettant aux attaquants de voler des données privées et de contrôler la mémoire de l’IA. Ces vulnérabilités incluent des techniques comme l’injection de mémoire et l’attaque « 0-click », où l’IA est trompée par des instructions cachées dans des sources externes. Selon Hackread, ces failles permettent aux attaquants de contourner les fonctionnalités de sécurité et de maintenir un accès persistant aux données des utilisateurs. Les chercheurs ont démontré que l’injection de mémoire crée une menace continue, car les instructions malveillantes sont stockées de manière permanente. OpenAI travaille sur des correctifs, mais l’injection de prompts reste un défi majeur pour la sécurité des modèles de langage.
Des chercheurs ont découvert des vulnérabilités critiques d’exécution de code à distance dans trois extensions Claude Desktop, développées par Anthropic. Ces extensions, utilisées par plus de 350 000 utilisateurs, présentaient des failles de commande non sécurisée, permettant l’exécution de code malveillant. Comme le rapporte GBHackers, ces failles ont été évaluées avec un score CVSS de 8.9, indiquant une gravité élevée. Les extensions concernées incluent les connecteurs pour Chrome, iMessage, et Apple Notes. Les vulnérabilités ont été corrigées, mais elles soulignent les risques associés même aux développeurs les plus fiables. L’exploitation de ces failles permettait à un attaquant d’injecter des commandes AppleScript, compromettant potentiellement les systèmes des utilisateurs.
Google prévoit de lancer bientôt deux nouveaux modèles d’IA : le Gemini 3, optimisé pour le codage, et le Nano Banana 2, destiné à générer des images réalistes. Selon BleepingComputer, le modèle Gemini 3 a été repéré sur la plateforme cloud Vertex AI de Google, avec un lancement prévu en novembre. Le modèle actuel, Gemini 2.5 Pro, a obtenu un score de 63.8% sur SWE-Bench, tandis que le Nano Banana 2 pourrait être disponible dès décembre 2025. Ces développements s’inscrivent dans une tendance où les entreprises, y compris OpenAI, travaillent sur de nouvelles versions de modèles d’IA pour répondre à la demande croissante de capacités avancées.
Des chercheurs en cybersécurité ont révélé de nouvelles vulnérabilités dans ChatGPT, exploitables pour voler des informations personnelles des utilisateurs. Ces failles, présentes dans les modèles GPT-4o et GPT-5, exposent le système à des attaques d’injection de prompts indirects. Selon The Hacker News, ces vulnérabilités permettent à un attaquant de manipuler le comportement des modèles de langage, les amenant à exécuter des actions non prévues ou malveillantes. Les attaques incluent l’injection via des sites de confiance et l’exploitation de liens masqués. OpenAI a corrigé certaines de ces failles, mais l’injection de prompts reste un problème persistant pour la sécurité des modèles de langage.
Google a découvert un malware expérimental, PROMPTFLUX, utilisant l’IA Gemini pour réécrire son code toutes les heures, améliorant ainsi l’obfuscation et l’évasion. Ce malware, écrit en VBScript, interagit avec l’API de Gemini pour demander des modifications de code spécifiques. Selon The Hacker News, cette fonctionnalité permet au malware de se modifier en temps réel pour éviter la détection par signature statique. PROMPTFLUX est encore en développement et n’a pas encore de moyen de compromettre directement les réseaux ou appareils des victimes. Cependant, il démontre l’utilisation croissante de l’IA pour créer des malwares plus sophistiqués et adaptatifs.
Microsoft a révélé une attaque appelée « Whisper Leak » qui permet de déduire les sujets de conversation des modèles de langage à distance via le trafic chiffré. Cette attaque de canal auxiliaire permet à un adversaire passif d’observer le trafic réseau pour extraire des détails sur les sujets de conversation, malgré les protections HTTPS. D’après The Hacker News, l’attaque utilise la taille des paquets et les séquences de temps pour classer les sujets des prompts initiaux. Cette technique pose de nouveaux risques pour la confidentialité des communications utilisateur et entreprise, en exploitant les différences de temps causées par le modèle de réponse en streaming.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
