Un rapport trimestriel sur les menaces publié par le Threat Intelligence Group de Google met en avant une campagne impliquant plus de 100 000 prompts qui, selon elle, visaient à copier les capacités de raisonnement propriétaires de son modèle IA Gemini. D’après le document, ces prompts semblaient constituer une tentative coordonnée d'extraction ou de distillation de modèles, un processus de machine learning dans lequel un modèle plus petit est créé à partir des caractéristiques essentielles d'un modèle beaucoup plus grand. « Ces prompts ont été détectés en temps réel par les systèmes de Google qui ont réduit le risque de cette attaque particulière », indique le rapport.
Google tient à empêcher ses concurrents de tirer profit de ses investissements dans le développement de modèles IA pour former leurs propres modèles, tout en laissant les utilisateurs accéder aux LLM qui alimentent ses services. « L'extraction de modèles et la distillation de connaissances qui s'ensuit permettent à une organisation d'accélérer le développement de modèles IA rapidement et à un coût nettement inférieur », a déclaré Google dans son rapport. « Cette activité représente une forme de vol de propriété intellectuelle. »
Une extraction sur une variété de tâches
Dans la campagne détectée par Google, les pirates ont demandé à Gemini de « maintenir une cohérence stricte entre le langage utilisé dans le contenu et la langue principale de l'utilisateur », une technique qui sert à extraire les processus de raisonnement du modèle dans plusieurs langues. « L'étendue des questions suggère une tentative de reproduire la capacité de raisonnement de Gemini dans des langues cibles autres que l'anglais pour une grande variété de tâches », a indiqué le fournisseur dans son enquête. Ce n’est pas la première fois que Google détecte des tentatives d'extraction de modèles de la part d'entités du secteur privé à travers le monde et de chercheurs cherchant à cloner des capacités d'IA propriétaires.
Selon l’entreprise, ces attaques contreviennent à ses conditions d'utilisation et peuvent faire l'objet de poursuites judiciaires. Cependant, les chercheurs et les clients potentiels pourraient aussi chercher à obtenir de larges échantillons du raisonnement de Gemini à d'autres fins légitimes, par exemple pour comparer les performances des modèles ou évaluer leur adéquation et leur fiabilité pour une tâche avant de les acheter.
Une menace croissante de vol de propriété intellectuelle
Google n'est pas le seul à constater dans ses logs ce qu'il considère comme des tentatives malveillantes d'extraction de modèles. La semaine dernière, OpenAI a déclaré aux législateurs américains que l’entreprise chinoise d'IA DeepSeek avait déployé de « nouvelles méthodes camouflées » pour extraire les résultats des principaux modèles IA américains afin de former ses propres systèmes, selon une note examinée par Bloomberg. Dans cette note, la société dirigée par Sam Altman accuse le chinois d'essayer de « profiter gratuitement des capacités développées par OpenAI et d'autres laboratoires américains de pointe », soulignant à quel point le vol de modèles était devenu une préoccupation pour les entreprises qui ont investi des milliards dans le développement de l'IA. Ross Filipek, RSSI chez Corsica Technologies, voit dans ces accusations un changement dans les menaces liées à la cybersécurité. « Les adversaires qui se livrent à des attaques d'extraction de modèles mettent en évidence un changement dans les priorités des attaques », a-t-il fait remarquer. « L'extraction de modèles n'infiltre pas les systèmes au sens traditionnel du terme, mais donne plutôt la priorité au transfert des connaissances développées à partir du modèle IA de la victime et à leur utilisation pour accélérer le développement des propres modèles IA par les attaquants. »
Selon le rapport, la menace de vol de propriété intellectuelle par extraction de modèles devrait inquiéter toute entreprise qui fournit des modèles IA en tant que services. Selon Google, ces entreprises devraient surveiller les modèles d'accès aux API afin de détecter tout signe d'extraction systématique. M. Filipek pense que pour se défendre contre ces attaques, il faut exercer une gouvernance stricte sur les systèmes IA et surveiller de près les flux de données. « Les entreprises devraient mettre en place des filtres de réponse et des contrôles de sortie, qui peuvent empêcher les attaquants de déterminer le comportement du modèle en cas de violation », a-t-il suggéré.
Les groupes APT très actifs
Google se considère non seulement comme une victime potentielle de la cybercriminalité liée à l'IA, mais aussi comme un facilitateur involontaire. Son rapport documente la manière dont des acteurs malveillants soutenus par les gouvernements chinois, iranien, nord-coréen et russe ont intégré Gemini dans leurs opérations à la fin de l'année 2025. L'entreprise explique avoir désactivé les comptes et les actifs associés à ces groupes. Selon le rapport, le groupe iranien APT42 a utilisé Gemini pour élaborer des campagnes d'ingénierie sociale ciblées, en fournissant à l'IA des détails biographiques sur des cibles spécifiques afin de générer des sujets de conversation destinés à instaurer la confiance. Le groupe a également utilisé Gemini pour la traduction et pour comprendre les références culturelles dans des langues non natives.
Selon le rapport, les groupes chinois APT31 et UNC795 ont utilisé Gemini pour automatiser l'analyse des vulnérabilités, déboguer des codes malveillants et rechercher des techniques d'exploitation. Les pirates nord-coréens de l'UNC2970 ont exploité Gemini pour obtenir des renseignements sur les sous-traitants du secteur de la défense et les entreprises de cybersécurité, recueillant des informations détaillées sur les structures organisationnelles et les rôles professionnels afin de mener des campagnes de phishing. Google a pris des mesures en désactivant les comptes associés et DeepMind a utilisé ces informations pour renforcer ses défenses contre les utilisations abusives.
Intégration des API dans le code malveillant
La firme de Mountain View alerte aussi sur une autre utilisation abusive de Gemini, certains cybercriminels intégrant ses API directement dans des codes malveillants. Le fournisseur a identifié une autre famille de malware, baptisée Honestcue, qui intègre directement l'API de Gemini dans ses opérations, envoyant des prompts pour générer du code fonctionnel que le malware compile et exécute en mémoire. Selon le rapport, ces prompts semblent inoffensives prises isolément, ce qui leur permet de contourner les filtres de sécurité de Gemini. Pete Luban, responsable de la sécurité informatique chez AttackIQ, considère que des services comme Gemini offrent aux pirates un moyen facile pour améliorer leurs techniques. « En intégrant des modèles IA publics comme Gemini dans des malwares, les auteurs de la menace peuvent accéder instantanément à de puissantes capacités LLM sans avoir à créer ou à former quoi que ce soit eux-mêmes », a-t-il souligné. « Les capacités des logiciels malveillants ont progressé de manière exponentielle, rendant possible des mouvements latéraux plus rapides, des campagnes d'attaques plus furtives et une imitation plus convaincante des opérations typiques des entreprises. »
Google a également documenté Coinbat, un kit de phishing créé à l'aide de plateformes de génération de code IA, et Xanthorox, un service clandestin qui faisait la promotion d'une IA personnalisée générant des logiciels malveillants, mais qui était en réalité un wrapper autour de produits commerciaux, notamment Gemini. L’entreprise a fermé les comptes et les projets liés à ces deux entités. Selon M. Luban, le rythme des menaces liées à l'IA rend les défenses traditionnelles insuffisantes. « Il est essentiel de procéder à des tests continus basés sur des comportements adversaires réalistes afin de déterminer si les défenses de sécurité sont prêtes à lutter contre les menaces adaptatives », a-t-il conseillé.