HalluSquatting : une attaque qui exploite l'hallucination des agents d'IA pour orchestrer des campagnes de ransomware ou des attaques DDoSGemini, ChatGPT, Claude Sonnet et Opus sont tous vulnérables
Des chercheurs en sécurité alertent sur une vulnérabilité majeure qui affecte les grands modèles de langage. Baptisée HalluSquatting, elle exploite la tendance des modèles à inventer des noms de dépôts de code inexistants. Elle permet à des acteurs malveillants d'anticiper ces hallucinations et d'enregistrer des ressources logicielles piégées contenant des commandes infectieuses. Ce procédé est hautement évolutif, car il permet de compromettre massivement des outils de programmation automatisés sans ciblage individuel. Les menaces incluent : création de botnets d'envergure, minage de cryptomonnaies ou campagnes de rançongiciels dévastatrices.
Une nouvelle menace de cybersécurité fait son apparition dans le domaine de l'IA, sous le nom de « HalluSquatting ». Historiquement, les attaques par injection de prompt ciblaient les victimes de manière individuelle, ce qui limitait fortement leur portée. À l'inverse, le HalluSquatting se distingue par sa capacité à opérer à très grande échelle en ciblant les assistants et agents IA de codage populaires, tels que Cursor, GitHub Copilot ou Gemini CLI.
Cette méthode redoutable s'appuie sur une faille structurelle des grands modèles de langage. Elle militarise l'incapacité des modèles de langage à dire « Je ne sais pas ». Lorsqu’un développeur demande à un agent IA de codage de cloner un nouveau dépôt très populaire, le modèle hallucine son emplacement correct dans environ 85 % des cas. Lors du clonage d’une « compétence » tendance, ces erreurs peuvent se produire dans 100 % des cas.
Le HalluSquatting touche principalement les ressources (nom de domaine, paquet, etc.) nouvellement publiées, car celles-ci ne sont pas incluses dans l’entraînement des modèles de langage. Ces ressources font par ailleurs l’objet d’un grand nombre de téléchargements sur une courte période.
Le mécanisme de l'attaque : exploiter les fausses certitudes de l'IA
HalluSquatting est l'abréviation de « adversarial hallucination squatting ». Cette technique s’attaque aux agents IA et assistants de codage, qui accèdent couramment à des lignes de commande dotées de privilèges élevés pour exécuter du code provenant de ressources tierces. Selon une nouvelle analyse, les cybercriminels ont de plus en plus recours à des agents IA et à des chatbots pour planifier et mener de manière autonome leurs cyberattaques.
Le terme « squatting » fait référence au « typosquatting », qui consiste à créer un nom de domaine ou un identifiant de ressource imitant de près celui d’un élément populaire dans le d'inciter des utilisateurs à le consulter ou à l’installer. Le typosquatting a attiré l’attention du grand public pour la première fois en 2016, lorsqu’un étudiant a mis en ligne 214 paquets piégés sur PyPI, RubyGems et NPM, imitant de près les noms de paquets légitimes.
Résultat : le code malveillant a été exécuté plus de 45 000 fois sur plus de 17 000 domaines distincts et plus de la moitié d’entre eux se sont vu attribuer des droits d’administration absolus. Les attaques de typosquatting se sont multipliées depuis lors et constituent un danger pour la chaîne d'approvisionnement.
Le HalluSquatting s'appuie sur les erreurs de l'IA. En prédisant les noms que les modèles sont les plus susceptibles d’inventer, puis en les enregistrant et en les imprégnant d'instructions visant à installer des shells inversés ou d'autres maliciels, l’attaque peut infecter sans distinction un nombre considérable d’appareils sans avoir à cibler chacun d’entre eux. Les botnets utilisés pour des attaques DDoS ou le minage de cryptomonnaies en sont un exemple.
Le HalluSquatting présente un potentiel d'impact à grande échelle
La nature évolutive de cette attaque permet à l’attaquant de compromettre un grand nombre d’utilisateurs avec un minimum d’effort en ciblant des ressources populaires, maximisant ainsi la probabilité que la ressource détournée soit récupérée. Grâce à sa capacité à prendre le contrôle de périphériques distribués à grande échelle, HalluSquatting permet d’atteindre divers objectifs jusqu’à ce jour impossibles à réaliser avec des injections de prompt.
En infectant de nombreuses machines indépendantes de cette manière, les cybercriminels peuvent prendre le contrôle d'une immense puissance de calcul. Ils ont ainsi la capacité de constituer de gigantesques réseaux de machines zombies (aussi appelés botnets) pour lancer des attaques par déni de service distribué (DDoS), orchestrer de vastes campagnes de rançongiciels, ou encore mener des opérations massives de minage de cryptomonnaies.
Non seulement ces hallucinations sont inévitables, mais elles touchent également les six principaux modèles : Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 et Opus-4.5. De plus, les emplacements erronés les plus fréquemment fournis par ces modèles sont faciles à prédire.
Ces six modèles suivent des schémas communs lorsqu’ils résolvent le nom d’un dépôt ou d’une compétence dans un prompt. Les modèles suivent divers schémas d’hallucinations. Celui exploité par HalluSquatting est décrit comme étant autoréférentiel. Les six modèles produisent des slugs de type « repo-name/repo-name » qui traitent le nom d’un dépôt comme étant le propriétaire. L’exploitation de ce schéma ne nécessite aucune exploration du modèle.
ESET alerte sur la menace les « compétences » d'IA malveillantes
Il est intéressant de noter que les modèles identifient correctement les dépôts publiés avant 2019, avec un taux moyen d’hallucination faible, de seulement 0,9 %. Ces mêmes modèles génèrent des slugs pour les dépôts publiés en 2025 avec un taux moyen d’hallucination de 92,4 %. Plusieurs rapports ont alerté également sur le fait que les hallucinations de l'IA se transforment en une véritable menace pour la chaîne d'approvisionnement des logiciels.
ESET a examiné 900 000 « compétences » répertoriées dans des référentiels publics et a identifié des dizaines de milliers d’instances suspectes, ainsi que des milliers d’instances carrément malveillantes. D'après le rapport sur les menaces d’ESET pour le premier semestre 2026, la disponibilité d’outils d’IA suspects et malveillants a élargi la surface d’attaque pour les cybercriminels et expose les organisations à un risque accru de cybermenaces.
L’analyse des référentiels a révélé une augmentation significative du nombre d’outils suspects et malveillants au cours des derniers mois. Le nombre de compétences d’agents IA identifiées par ESET et jugées suspectes est passé d’environ 10 000 à plus de 25 000 au cours de la période considérée, tandis que celles bloquées pour cause de malveillance sont passées d’environ 600 à plus de 3 000. Et rien n'indique que les choses vont s'améliorer.
Les capacités malveillantes que ces outils d’IA permettent aux attaquants d’exploiter comprennent la possibilité d’exfiltrer des données, de télécharger et d’exécuter des logiciels malveillants, de passer outre les instructions de l’utilisateur, voire de modifier subtilement le comportement de l’agent en lui-même.
Les chercheurs mettent en garde contre la confiance « aveugle »
Dans le cadre de l'analyse d'ESET, une suite d’outils a été identifiée comme offrant des fonctionnalités légitimes de « red teaming ». Cependant, l’agent avait également la capacité d’aller bien au-delà de ce qui était annoncé, permettant l’exfiltration d’identifiants et l’obtention d’un accès persistant et hautement privilégié. Certains déploient même des outils d’accès à distance tels que Mimikatz, couramment associés aux attaques par ransomware.
Il existe également des milliers d’outils qui ne sont peut-être pas malveillants, mais dont la conception permet de les adapter facilement pour aider les cybercriminels à mener des attaques. Les cybercriminels ont déjà utilisé des méthodes similaires pour développer et diffuser des extensions de navigateur et des applications mobiles pouvant être exploitées à des fins malveillantes. Mais ESET a averti que l’ajout de l’IA a grandement accru les risques.
Face au phénomène du HalluSquatting, les experts en sécurité appellent à une grande vigilance. Michael Bargury, cadre dans une entreprise de cybersécurité, a déclaré que « c'est un problème qui ne disparaîtra pas » et prévient que « nos agents artificiels vont se faire avoir d'une manière ou d'une autre ».
Bien que les concepteurs d'outils d'IA vantent souvent le gain de temps et l'automatisation offerts par leurs plateformes, le HalluSquatting vient rappeler que les utilisateurs ne doivent pas se fier aveuglément à ces systèmes. Il est impératif de vérifier manuellement et systématiquement l'emplacement et la légitimité de chaque ressource importée dans un code, sous peine de voir des projets entiers torpillés par une simple hallucination de l'IA.
Sources : rapport d'étude, ESET
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la faille HalluSquatting qui touche les agents IA ?
Les experts avertissent que cette menace va prendre de l'ampleur. Qu'en pensez-vous ?Voir aussi
Les hallucinations de l'IA conduisent à une nouvelle cybermenace : le Slopsquatting, les développeurs "Vibe coding" qui utilisent des LLM pour créer du code s'exposent à un nouveau type d'attaque
20 paquets JavaScript npm populaires avec 2 milliards de téléchargements hebdomadaires compromis dans une attaque. La plus grande attaque de la chaîne d'approvisionnement de l'histoire ?
L'industrie de l'IA a un énorme problème : plus l'IA devient « intelligente », plus elle hallucine. Ce phénomène réduit considérablement la valeur de la technologie de l'IA générative
Vous avez lu gratuitement 14 759 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.