Cyber IA : actualités du 10 déc 2025

Voici le tour d’horizon hebdomadaire des actualités à l’intersection de l’intelligence artificielle et de la cybersécurité : avancées technologiques, vulnérabilités, usages malveillants, réglementations et initiatives stratégiques à suivre.

Cette semaine met en lumière une convergence entre sécurité, usages et gouvernance de l’intelligence artificielle. Plus de 30 vulnérabilités IDEsaster touchent des environnements de développement intégrant l’IA, tandis qu’une attaque de navigateur agentique sans clic peut effacer un espace Google Drive. Une hausse de 517 % des campagnes ClickFix s’appuie sur de faux outils liés à ChatGPT. Côté modèles, des travaux académiques pointent une sensibilité excessive à la structure des phrases. Les risques s’étendent aussi aux blockchains et aux dérives d’images générées.

Selon The Hacker News, plus de 30 vulnérabilités ont été identifiées dans des environnements de développement intégrés (IDE) utilisant l’intelligence artificielle. Ces failles, nommées IDEsaster, permettent des attaques d’exfiltration de données et d’exécution de code à distance. Les IDE concernés incluent Cursor, Windsurf, et GitHub Copilot, parmi d’autres. Parmi ces vulnérabilités, 24 ont reçu des identifiants CVE. Les attaques exploitent des injections de contexte et des appels d’outils auto-approuvés pour contourner les garde-fous des modèles de langage, entraînant des fuites d’informations ou l’exécution de commandes arbitraires.

Des chercheurs du MIT, de Northeastern University et de Meta ont découvert que les modèles de langage de grande taille (LLM) peuvent parfois privilégier la structure des phrases au détriment de leur sens. Comme le détaille Ars Technica, cette découverte pourrait expliquer pourquoi certaines méthodes de contournement des règles de sécurité fonctionnent. En testant les modèles avec des phrases grammaticalement correctes mais dénuées de sens, les chercheurs ont observé que les modèles répondaient de manière incorrecte, suggérant une dépendance excessive aux schémas structurels. Ces résultats seront présentés lors de la conférence NeurIPS.

D’après CyberInsider, des agents d’intelligence artificielle développés par Anthropic ont simulé des exploits de contrats intelligents sur blockchain, générant des gains fictifs de 4,6 millions de dollars. Cette étude a introduit un nouveau benchmark d’évaluation, SCONE-bench, qui inclut 405 contrats intelligents réels exploités entre 2020 et 2025. Les chercheurs ont également découvert deux failles de sécurité zero-day. Ces résultats démontrent la capacité des agents d’IA à exploiter de manière autonome des contrats intelligents, soulignant les risques potentiels pour la sécurité des blockchains.

Une base de données d’une startup d’images générées par IA a été laissée accessible sur Internet, exposant plus d’un million d’images et vidéos, dont beaucoup impliquaient du contenu explicite de personnes nudifiées. Selon Wired, cette fuite comprenait des photos de personnes réelles « dénudées » sans leur consentement. Le chercheur en sécurité qui a découvert cette faille en octobre, notait que 10 000 nouvelles images étaient ajoutées quotidiennement. Ce problème soulève à nouveau des préoccupations concernant l’utilisation malveillante des outils de génération d’images par IA.

Un faux navigateur ChatGPT Atlas a été utilisé dans une attaque ClickFix pour voler des mots de passe, comme le rapporte HackRead. Cette menace a connu une augmentation de plus de 500% et implique l’utilisation de sites clonés pour inciter les utilisateurs à exécuter des logiciels malveillants. Les attaques ClickFix ont ciblé divers services, y compris des plateformes éducatives et des outils de conférence. Les utilisateurs sont trompés par des sites imitant de manière convaincante les originaux, avec des indices subtils comme l’URL pour distinguer le faux du vrai.

Une attaque de navigateur agentique sans clic cible le navigateur Comet de Perplexity, capable de supprimer l’intégralité du contenu de Google Drive d’un utilisateur. Les résultats de Straiker STAR Labs, détaillés par The Hacker News, montrent que cette technique repose sur la connexion du navigateur à des services comme Gmail et Google Drive pour automatiser des tâches. Cette attaque met en évidence la vulnérabilité des systèmes connectés à des services cloud, permettant des actions destructrices sans interaction de l’utilisateur.

Le New York Times a intenté un procès contre Perplexity AI pour copie illégale de millions d’articles. Selon The Guardian, le journal accuse la startup d’avoir distribué et affiché des contenus journalistiques sans autorisation. Perplexity AI est également poursuivie par Dow Jones et le New York Post pour des violations similaires. Le Times affirme que les produits génératifs de l’IA créent des contenus fabriqués et les attribuent faussement au journal, violant ainsi ses marques déposées.

L’outil Nano Banana Pro de Google, générateur d’images par IA, est accusé de créer des visuels racialement stéréotypés de « sauveur blanc ». Comme le rapporte The Guardian, des recherches ont montré que l’outil représentait souvent des femmes blanches entourées d’enfants noirs lorsqu’on lui demandait de générer des images sur l’aide humanitaire en Afrique. Ces images incluaient parfois les logos de grandes organisations caritatives, soulevant des préoccupations éthiques concernant les biais raciaux dans les outils d’IA.