Des chercheurs de l’Université de Toronto démontrent comment les LLM locaux ouverts peuvent être utilisés pour exploiter de manière autonome les failles et les erreurs de configuration typiques de la plupart des réseaux d’entreprise, en se nourrissant de GPU abusés pour alimenter l’auto-réplication.
Des chercheurs de l’Université de Toronto ont développé un prototype de ver informatique alimenté par un agent d’IA qui s’est auto-répliqué avec succès sur différents systèmes au sein d’un réseau informatique simulé. Le ver utilisait un modèle LLM (Large Language Model) gratuit exécuté sur du matériel local et exploitait une combinaison d’anciennes et de nouvelles vulnérabilités, ainsi que des erreurs de configuration qui restent trop courantes dans les environnements d’entreprise.
À une époque où les RSSI et le secteur de la sécurité s’inquiètent de la capacité de modèles pionniers tels que Mythos d’Anthropic à détecter des vulnérabilités zero-day dans des logiciels critiques, cette expérience rappelle que les attaquants n’ont pas besoin d’une IA de pointe pour faire des ravages sur les réseaux d’entreprise typiques. En fait, l’utilisation de modèles payants accessibles uniquement via des API constituerait un point d’échec pour un système malveillant autonome tel qu’un ver informatique, car les invites construites pour contourner les garde-fous de sécurité seraient rapidement détectées et bloquées par les laboratoires d’IA.
« Nous avons découvert qu’il est possible de créer un ver informatique piloté par l’IA, en utilisant uniquement de petits modèles d’IA gratuits, capable d’identifier de manière autonome les points faibles uniques de chaque machine (y compris les vulnérabilités récemment signalées par l’industrie et les erreurs de configuration telles que les mots de passe réutilisés) et de les exploiter, en détournant la puissance de calcul pour prendre le contrôle d’appareils classiques tels que des ordinateurs portables, des appareils photo et tout le reste en ligne, puis en se copiant sur des serveurs et des réseaux pour voler des données ou lancer de nouvelles attaques », a déclaré l’équipe de recherche de CleverHans de l’Université de Toronto. Lab a déclaré dans son rapport. « Nous avons fait cela sans utiliser les modèles d’IA les plus récents et les plus puissants. Il n’existe pas de défense unique contre cette nouvelle menace. »
Construire un harnais agent pour les cyberattaques offensives
Alors que les modèles frontières tels que Claude Opus et GPT 5.5 offrent des fenêtres contextuelles d’un million de jetons et peuvent raisonner pendant des dizaines de minutes, voire des heures à la fois pour résoudre une seule tâche, cette approche ne fonctionne pas pour les LLM hébergés localement et fonctionnant sur un seul GPU. Leurs fenêtres contextuelles sont beaucoup plus petites et présentent généralement des capacités de suivi des instructions plus faibles pour les tâches agentiques.
Les développeurs de logiciels de codage vibratoire qui ont rencontré ces problèmes il y a longtemps les ont résolus en créant des harnais personnalisés et des cadres d’agent qui divisent les projets d’ingénierie logicielle complexes en phases et étapes, exécutés par plusieurs sous-agents en parallèle qui partagent les résultats via une certaine forme de système de mémoire, allant d’un fichier de démarque à une base de données.
Les chercheurs du CleverHans Lab ont adopté ces leçons pour créer leur propre harnais à des fins de sécurité offensives afin de compenser les limitations locales du LLM, avec des phases et des nœuds spécifiques à des tâches qui effectuent des appels LLM avec des invites spécialisées.
« Ce noyau est soutenu par des systèmes complémentaires : une mémoire hiérarchique qui préserve les découvertes à travers des appels LLM indépendants, des outils et leurs gestionnaires qui encapsulent des séquences d’actions communes et interprètent les résultats d’exécution, un système de compétences qui injecte des conseils de test d’intrusion contextuels à la demande et une coordination multi-agents qui partage l’intelligence entre les instances », ont-ils expliqué dans leur article.
Les harnais agents conçus pour la recherche sur la sécurité et les tests d’intrusion ne sont pas un concept nouveau et existent depuis un certain temps. Les exemples open source incluent RAPTOR, un cadre de compétences et d’agents pour Claude Code conçu pour la découverte de vulnérabilités et l’écriture d’exploits, et SecOpsAgentKit.
Simulation d’un réseau d’entreprise vulnérable
Les chercheurs du CleverHans Lab ont créé un réseau composé de machines virtuelles exécutant différents systèmes d’exploitation, notamment Ubuntu (16.04-24.04), Debian (9-12), Alpine Linux, Rocky Linux 9, CentOS Stream 9 et Windows Server (2008 R2, 2019, 2022). Ces machines virtuelles simulaient des serveurs exécutant une variété de services Web, ainsi que des appareils IoT et des systèmes de contrôle industriels que l’on trouve sur les réseaux d’entreprise classiques.
Les chercheurs ont laissé un assortiment d’anciennes et de nouvelles vulnérabilités (datant de quelques jours) non corrigées sur les systèmes simulés, ainsi que des configurations non sécurisées courantes et des failles génériques telles que le contrôle d’accès manquant ou l’injection SQL. L’objectif était de tester la capacité de leur ver alimenté par l’IA à découvrir les systèmes, trouver les ports ouverts, identifier les services exposés, localiser les vulnérabilités, les exploiter, puis se copier sur le système compromis.
Les systèmes présentaient à la fois des failles exploitables à distance qui fourniraient un accès initial, ainsi que des failles et des faiblesses locales qui pourraient être utilisées pour élever les privilèges au niveau root et prendre complètement le contrôle de la machine.
« Ces deux classes évaluent des capacités complémentaires : les CVE testent la capacité de l’agent à identifier les versions logicielles et à adapter ou compiler dynamiquement le code d’exploitation brut pour s’adapter à l’environnement cible, tandis que les CWE testent sa capacité de raisonnement ouvert et spécifique à une cible là où aucun exploit standard ne s’applique », ont déclaré les chercheurs. « Pour garantir que le réseau reflète les vulnérabilités rencontrées dans le monde réel, toutes les cibles sont tirées de trois taxonomies de menaces faisant autorité (le catalogue CISA Known Exploited Vulnerabilities, le OWASP Top 10 : 2025 et le cadre MITRE ATT&CK) couvrant respectivement les vulnérabilités sous exploitation active dans la nature, les vulnérabilités Web et logicielles répandues et les techniques contradictoires utilisées après l’accès initial à un réseau.
De plus, certaines machines virtuelles étaient équipées de GPU qui permettraient au ver de se répliquer puis de détourner les ressources informatiques pour exécuter le modèle localement au lieu de s’appuyer sur le LLM hébergé par les chercheurs sur un système externe.
Au cours de sept jours et de cinq générations d’auto-réplication, le ver a réussi à se propager sur 27 des 33 systèmes de l’environnement simulé. Le ver a correctement identifié les vulnérabilités dans 82 % des tentatives et a réussi à les exploiter dans 44 % d’entre elles. Bien que le taux d’exploitation soit assez faible, la mise en œuvre parallèle et en essaim, où chaque système compromis devenait une nouvelle instance de l’agent malveillant, a compensé et a finalement conduit à un taux de réussite global élevé.
Cela correspond en grande partie à ce que les chercheurs en sécurité de Forescout ont découvert dans une étude réalisée plus tôt cette année qui examinait à quel point les modèles sont devenus efficaces pour découvrir et exploiter les vulnérabilités. Bien que la recherche ait montré que la nouvelle génération de modèles à poids ouvert avait considérablement amélioré leurs capacités à trouver et à exploiter les vulnérabilités, les variantes plus petites de ces modèles quantifiées pour s’exécuter localement sur des GPU uniques ne fonctionnaient toujours pas bien dans de telles tâches.
Les chercheurs ont cependant noté à l’époque qu’en utilisant des cadres agents d’IA spécialisés comme RAPTOR, ils étaient capables de trouver de nouveaux zéros dans OpenDNS.
Les cybercriminels sont également conscients de ces avancées dans les capacités des modèles, d’après les discussions observées par l’équipe de Dos Santos sur des forums clandestins, où davantage d’attaquants se concentrent sur les modèles open source et commerciaux plutôt que sur les modèles « clandestins » adaptés à la cybercriminalité.
Les organisations manquent de temps
Même si les attaques Zero Day reçoivent beaucoup d’attention et que l’IA a mis ces failles à la portée d’un plus grand nombre d’attaquants que jamais, la réalité est que les systèmes sur Internet et à l’intérieur des réseaux ne manquent pas qui sont soit mal configurés, soit vulnérables à des failles connues pour lesquelles des correctifs ou des mesures d’atténuation existent.
L’expérience de l’Université de Toronto montre que les défenseurs doivent être capables de réagir avec la même rapidité, d’autant plus que leur prototype montre que les connaissances sur les nouvelles vulnérabilités peuvent être intégrées dans la base de connaissances du ver quelques heures après leur divulgation publique. La capacité du ver à détourner les GPU pour exécuter des nœuds réduit encore davantage l’investissement que les attaquants doivent réaliser pour exécuter de telles attaques assistées par l’IA.
« Les organisations ont une dette technologique et sécuritaire infinie, et avec l’augmentation des attaques d’IA, nous n’avons plus le temps », a déclaré Evron. « Cependant, le changement est une question de temps, en particulier dans l’entreprise. La clé est de commencer à se préparer dès maintenant. Bientôt, nous ne mesurerons plus le temps nécessaire à l’exploitation, mais devrons construire de nouvelles mesures, par exemple pour la capacité à gérer les violations de données simultanées et régulières tout en minimisant l’impact sur les opérations quotidiennes. »
Des chercheurs de l’Université de Toronto appellent les entreprises à adopter des tests d’intrusion et du fuzzing assistés par l’IA pour découvrir les faiblesses exploitables de leur propre infrastructure, mais également pour renforcer la capacité de déployer plus rapidement des correctifs ou des mesures d’atténuation, ce qui constitue désormais une lacune importante.
Ils reconnaissent cependant certaines limites de leur prototype, comme le fait qu’il était bruyant, laissant derrière lui de nombreuses signatures comportementales qui pourraient être détectées par les systèmes de surveillance des points finaux et du réseau. De plus, leur réseau simulé manquait de segmentation de base du réseau, qui pourrait être encore améliorée avec une architecture Zero Trust pour empêcher les mouvements latéraux et en minimisant les dépendances logicielles et la surface d’attaque sur chaque système hôte.
« Même si les vulnérabilités, les exploits et l’orchestration des attaques sont désormais autonomes, la signification profonde pour la défense est que bon nombre de nos hypothèses sur la création de programmes de sécurité sont désormais remises en question », a déclaré Evron. « Jusqu’à ce que nous parvenions à une IA défensive mature, nous devons doter nos collaborateurs d’agents de codage pour les amener à la vitesse de la machine, puis défendre ces agents à leur tour. »
