Les cybercriminels utilisent l'IA pour attaquer le cloud plus rapidement - et les logiciels tiers sont le maillon faible

Les cybercriminels utilisent l'IA pour attaquer le cloud plus rapidement - et les logiciels tiers sont le maillon faible

Le dernier rapport sur les menaces de Google avertit que les outils tiers sont désormais des cibles privilégiées pour les attaquants, et les entreprises n'ont que quelques jours pour les sécuriser.

Points clés de ZDNET

• L'IA aide les attaquants à exploiter les vulnérabilités plus rapidement que jamais.
• La plupart des attaques dans le cloud ciblent des logiciels tiers vulnérables.
• Les entreprises ont besoin de défenses automatisées et alimentées par l'IA pour suivre le rythme.

Le jury n'est toujours pas décidé sur le fait que la plupart des entreprises tirent un bénéfice mesurable de l'implémentation de l'IA dans leurs organisations, et le débat risque de devenir plus houleux avec le temps. Cependant, un secteur tire d'énormes gains de productivité à l'ère de l'IA : les cybercriminels sont plus efficaces que jamais pour exploiter les vulnérabilités afin d'attaquer les entreprises dans le cloud, où elles sont les plus vulnérables.

C'est la conclusion d'un rapport récemment publié par l'équipe de sécurité de Google, que j'ai pu examiner avant sa publication. Basé sur ses observations de la seconde moitié de 2025, Google Cloud Security a conclu que "la fenêtre entre la divulgation de vulnérabilités et l'exploitation massive s'est réduite d'un ordre de grandeur, passant de semaines à jours." Le rapport indique que la meilleure façon de lutter contre les attaques alimentées par l'IA est d'utiliser des défenses augmentées par l'IA : "Cette activité, ainsi que les tentatives assistées par l'IA pour sonder les cibles à la recherche d'informations et l'accent continu des acteurs de la menace sur le vol de données, indique que les organisations devraient se tourner vers des défenses plus automatiques."

S'infiltrer par le code tiers

De nos jours, le rapport de Google note que les menaces de sécurité ne ciblent pas l'infrastructure centrale de services comme Google Cloud, Amazon Web Services et Microsoft Azure. Ces cibles de grande valeur sont bien sécurisées. Au lieu de cela, les acteurs de la menace (un terme poli qui inclut à la fois des gangs criminels et des agents soutenus par l'État, notamment de Corée du Nord) dirigent leurs attaques vers des vulnérabilités non corrigées dans le code tiers.

Le rapport contient plusieurs exemples détaillés de ces attaques, sans mentionner les victimes par leur nom. L'une d'elles a impliqué l'exploitation d'une vulnérabilité critique d'exécution de code à distance (RCE) dans React Server Components, une bibliothèque JavaScript populaire utilisée pour construire des interfaces utilisateur dans des sites web et des applications mobiles ; ces attaques ont commencé dans les 48 heures suivant la divulgation publique de la vulnérabilité (CVE-2025-55182, communément appelée React2Shell). Un autre incident a concerné une vulnérabilité RCE dans la populaire XWiki Platform (CVE-2025-24893) qui a permis aux attaquants d'exécuter du code arbitraire sur un serveur distant en envoyant une chaîne de recherche spécifique. Ce bug a été corrigé en juin 2024, mais le correctif n'a pas été largement déployé, et les attaquants (y compris des gangs de minage de cryptomonnaies) ont commencé à l'exploiter sérieusement en novembre 2025.

Un récit particulièrement intéressant implique un groupe d'attaquants soutenus par l'État connu sous le nom de UNC4899, probablement de Corée du Nord, qui a pris le contrôle de charges de travail Kubernetes pour voler des millions de dollars en cryptomonnaies. Voici comment l'exploitation a eu lieu : UNC4899 a ciblé et attiré un développeur sans méfiance à télécharger un fichier d'archive sous prétexte d'une collaboration sur un projet open source. Peu après, le développeur a transféré le même fichier de son appareil personnel à son poste de travail d'entreprise via Airdrop. En utilisant son environnement de développement intégré (IDE) assisté par IA, la victime a ensuite interagi avec le contenu de l'archive, exécutant finalement le code Python malveillant intégré, qui a généré et exécuté un binaire se faisant passer pour l'outil de ligne de commande Kubernetes. Ce binaire a communiqué avec des domaines contrôlés par UNC4899 et a servi de porte dérobée permettant aux acteurs de la menace d'accéder au poste de travail de la victime, leur donnant ainsi un point d'entrée dans le réseau de l'entreprise.

Un autre incident a impliqué une série d'étapes qui ont commencé par un package compromis de Node Package Manager qui a volé un jeton GitHub d'un développeur et l'a utilisé pour accéder à Amazon Web Services, voler des fichiers stockés dans un bucket AWS S3, puis détruire les originaux. Tout cela s'est produit en l'espace de 72 heures.

Compromission de l'identité

Une autre découverte majeure est un changement dans la stratégie d'attaque, passant des attaques par force brute sur des identifiants faibles à l'exploitation de problèmes d'identité par divers moyens :

• 17% des cas impliquaient l'ingénierie sociale par la voix (vishing)
• 12% reposaient sur le phishing par email
• 21% impliquaient des relations de confiance compromises avec des tiers
• 21% concernaient des acteurs exploitant des identités humaines et non humaines volées
• 7% résultaient d'acteurs accédant par des méthodes impropres