Modèles d’IA : HalluSquatting : la nouvelle faille exploitée par les hackers
Les agents de codage autonomes redéfinissent la façon dont nous produisons du logiciel. Cursor, GitHub Copilot ou Gemini CLI clonent des dépôts. Ils installent des paquets. Ils exécutent des commandes sans validation humaine. Cette autonomie séduit les développeurs. Mais elle ouvre aussi une faille de sécurité inédite. Des chercheurs de l’université de Tel-Aviv, du Technion et d’Intuit viennent de mettre au jour une technique baptisée HalluSquatting. Son principe est simple et redoutable : il ne s’agit plus de tromper l’utilisateur, mais de laisser l’IA se tromper toute seule.

Le mécanisme du HalluSquatting
Les grands modèles de langage possèdent un défaut connu depuis longtemps. Ils inventent parfois des noms de dépôts ou de paquets qui n’existent pas. C’est ce qu’on appelle une hallucination. Un attaquant peut exploiter ce comportement de façon méthodique. Il préenregistre à l’avance ces noms fictifs générés de manière répétée par les modèles. Il y dissimule ensuite du code malveillant. Lorsqu’un développeur demande à son agent IA de cloner une ressource, celui-ci peut halluciner un nom et le prendre pour réel. Si le terminal exécute automatiquement les commandes suivantes, l’installation d’un malware devient possible. Une exécution de code à distance peut même en découler.
Des taux d’hallucination alarmants
Les chiffres révélés par l’étude donnent le vertige. Le taux d’hallucination atteint 85 % pour les requêtes de clonage de dépôt. Il grimpe jusqu’à 100 % pour les demandes d’installation de compétences. Ce n’est pas tout. Les mêmes noms fictifs reviennent de façon récurrente à travers plusieurs modèles de fondation différents. Cette convergence rend l’attaque particulièrement dangereuse. Elle devient reproductible sur un large éventail de services d’IA. Elle ne dépend pas d’un seul modèle en particulier. Un attaquant n’a donc besoin que d’un minimum d’observation pour identifier ces cibles récurrentes.
Une menace distincte du prompt injection
Les menaces visant les IA reposaient jusqu’ici sur l’injection de prompt. Ce type d’attaque dissimule des instructions dans un e-mail, un commentaire de code ou une notification. Il faut un canal direct vers la victime pour que cela fonctionne. Avec HalluSquatting, tout change radicalement. L’attaquant n’a besoin d’aucun accès direct à sa cible. Il exploite une information fictive que l’IA génère elle-même, sans intervention extérieure. Les chercheurs parlent même de « botnets agentiques ». La taille de ce réseau dépend uniquement de la fréquence à laquelle les outils d’IA hallucinent la ressource piégée. Ce sont les modèles eux-mêmes, à grande échelle, qui deviennent le vecteur de propagation.
Ce constat s’inscrit dans une tendance plus large. Les acteurs malveillants s’appuient désormais sur l’IA pour automatiser des attaques de plus en plus sophistiquées. Ce phénomène touche aussi bien la découverte de comptes que l’élévation de privilèges dans les réseaux compromis. Sur ce sujet, l’analyse publiée sur IA cybersécurité montre comment des hackers peu expérimentés parviennent aujourd’hui à mener des opérations d’une sophistication inédite. La barrière technique s’effondre. C’est exactement la même logique qui rend HalluSquatting si préoccupant.
Vers une exécution plus prudente

Cette découverte survient à un moment charnière. Les agents de codage évoluent vers une exécution de plus en plus autonome. Clonage de dépôts, installation de paquets, lancement de commandes en terminal : tout dépasse désormais la simple génération de code. Cette autonomie croissante est un moteur de productivité indéniable. Mais elle constitue aussi une porte d’entrée pour un attaquant. La compétition entre éditeurs d’outils d’IA pourrait donc changer de nature. Elle pourrait se déplacer de la précision des réponses vers la sécurité de l’exécution. Le contrôle des permissions deviendra un critère déterminant.
Les entreprises doivent revoir leur stratégie d’adoption de l’IA sans tarder. Il ne suffit plus d’exécuter tels quels les dépôts et paquets recommandés par un agent. Il faut vérifier systématiquement leur origine. La propriété du code doit être contrôlée. Sa signature doit être validée avant toute exécution. La limitation des droits en terminal devrait se généraliser. La restriction à une liste de dépôts approuvés représente également une piste sérieuse à explorer. Ces mesures, bien que contraignantes, deviennent indispensables face à l’ampleur du risque.
Une divulgation responsable
Les chercheurs à l’origine de cette découverte ont agi avec prudence. Ils ont averti les éditeurs concernés avant toute publication. Ils n’ont pas divulgué les détails techniques susceptibles d’être directement réutilisés par des attaquants. Cette approche responsable limite les risques d’exploitation immédiate. Mais elle ne doit pas rassurer excessivement les organisations. Le principe même de HalluSquatting est désormais public. Des acteurs malveillants pourraient reproduire la démarche de manière indépendante. La fenêtre de vulnérabilité reste ouverte tant que les correctifs ne sont pas généralisés.
Ce que les entreprises doivent retenir

Le message central de cette étude est limpide. L’hallucination des modèles n’est plus un simple problème de qualité ou de fiabilité. Elle devient un vecteur d’attaque à part entière. Les équipes de sécurité doivent intégrer ce risque dans leurs modèles de menace. Elles doivent former les développeurs à la vigilance face aux suggestions de leurs agents IA. Un nom de dépôt qui paraît légitime n’est plus une garantie suffisante. La confiance aveugle envers les outils d’IA doit céder la place à une vérification systématique.
Cette évolution s’inscrit dans un mouvement plus vaste de sophistication des cybermenaces assistées par IA. Les organisations qui n’adaptent pas leurs défenses dès maintenant s’exposent à des conséquences sérieuses. Le sujet dépasse la seule sphère technique. Il touche à la gouvernance des outils d’IA en entreprise. Il concerne également la responsabilité des éditeurs face à ces failles émergentes. HalluSquatting illustre parfaitement comment l’innovation en intelligence artificielle génère, en parallèle, de nouveaux risques structurels. La vigilance collective reste, plus que jamais, la meilleure des protections.
