Google vient de dévoiler l'autre face de son IA vedette : Gemini est massivement détourné par des groupes de pirates sponsorisés par la Chine, l'Iran, la Corée du Nord et la Russie. De la reconnaissance à l'exfiltration de données, l'outil sert désormais à toutes les étapes d'une cyberattaque.

Moins surveillé que l'application, l'accès API à Gemini est le principal moyen utilisé par les hackers. © Shutterstock
Moins surveillé que l'application, l'accès API à Gemini est le principal moyen utilisé par les hackers. © Shutterstock

L'aveu vient directement du géant de Mountain View. Le Google Threat Intelligence Group (GTIG) a publié ce 12 février 2026 un rapport qui documente l'usage intensif de Gemini par des acteurs malveillants étatiques. Ces derniers exploitent l'intelligence artificielle pour accélérer leurs opérations offensives, de la phase de repérage jusqu'à la prise de contrôle des systèmes. Une tendance inquiétante qui fait écho au récent détournement de Claude par des espions chinois, qui avaient ciblé une trentaine d'organisations avec des résultats mitigés. Cette fois, la menace prend une ampleur différente : Gemini semble mieux répondre aux attentes des pirates.

Des services secrets en mode turbo grâce à l'IA

Les groupes APT31 et Temp.HEX, affiliés à Pékin, ont carrément transformé Gemini en assistant cybersécurité sur mesure. Leur méthode ? Créer des scénarios fictifs où l'IA croit participer à un audit légitime. Dans un cas documenté, les opérateurs chinois ont demandé à Gemini d'automatiser l'analyse de vulnérabilités et de fournir des plans de tests ciblés contre des infrastructures américaines spécifiques. L'IA a obéi sans broncher, produisant des recommandations sur l'exploitation de failles d'exécution de code à distance, les techniques de contournement de pare-feu applicatifs et les injections SQL.

Google Gemini
Google Gemini
  • Un modèle de génération puissant
  • Une base de connaissances actualisée en temps réel
  • Gratuit et intégré à l'écosystème Google
8 / 10
Télécharger

Du côté iranien, le groupe APT42 a adopté une approche plus pragmatique en utilisant Gemini comme plateforme de développement accélérée. L'IA leur sert à déboguer du code malveillant, générer des outils d'hameçonnage personnalisés et peaufiner leurs campagnes d'ingénierie sociale. Les Nord-Coréens du groupe UNC2970 ne sont pas en reste et participent eux aussi à cette foire aux détournements.

Certains maliciels récents portent d'ailleurs la signature caractéristique d'un développement assisté par IA. HonestCue, un framework détecté fin 2025, utilise directement l'interface de programmation de Gemini pour générer du code en C# de seconde phase, qu'il compile et exécute en mémoire. CoinBait, un kit de phishing déguisé en plateforme d'échange de cryptomonnaies, contient des traces d'utilisation d'outils d'IA pour accélérer sa conception.

Le business model de l'IA en ligne de mire

Google fait face à un dilemme classique de l'industrie technologique : comment protéger un outil puissant tout en le rendant accessible ? Le rapport du GTIG révèle également des tentatives massives d'extraction et de distillation du modèle Gemini 3 Pro — un comble quand on sait que cette méthode popularisée par les chercheurs de Deepseek a été utilisé par Google pour entraîner ses modèles open-source Gemma. Dans une attaque d'ampleur, 100 000 requêtes ont été envoyées pour reproduire le raisonnement de l'IA sur une gamme de tâches dans plusieurs langues. L'objectif n'est pas de pirater des utilisateurs, mais de voler la propriété intellectuelle de Google pour entraîner des modèles concurrents à moindre coût.

La firme californienne assure avoir désactivé les comptes et infrastructures liés aux abus documentés, tout en renforçant les classificateurs de Gemini pour rendre ces détournements plus difficiles . Mais la bataille semble inégale : les garde-fous éthiques, aussi sophistiqués soient-ils, cèdent face à des adversaires disposant de ressources quasi illimitées et d'une créativité débordante pour les contourner.

Source : Bleeping Computers