Alexandra KaplanBen Nassi, Chercheur en cybersécurité chez Cornell Tech
Contexte et enjeux
Morris II marque un tournant dans l’évolution des menaces informatiques en ciblant directement l’infrastructure des systèmes d’IA générative interconnectés [1]. Contrairement aux malwares traditionnels qui exploitent les failles des systèmes d’exploitation, ce ver utilise des prompts adverses auto-répliquants pour manipuler les modèles de langage [2]. Le nombre de vulnérabilités informatiques a atteint 38 000 en 2024, contre 29 000 en 2023, reflétant l’expansion rapide de nouvelles surfaces d’attaque [3].
Détails factuels en liste courte :
- Premier ver IA documenté exploitant les capacités de traitement naturel des LLM
- Fonctionne comme une attaque « zero-click » ne nécessitant aucune action utilisateur au-delà de l’ouverture d’un email
- Propage des prompts malveillants via les composants RAG (Retrieval Augmented Generation) des systèmes IA
Détails techniques et mécanismes d’infection
Morris II exploite deux méthodes principales de propagation [4]. La première repose sur la contamination des bases de données RAG, qui permettent aux applications IA d’accéder à des sources externes comme les boîtes email. La seconde manipule les flux applicatifs en altérant les entrées du modèle pour déclencher des actions malveillantes sur les systèmes infectés [4].
Le ver intègre plusieurs vecteurs d’attaque : exfiltration de données (noms, numéros de téléphone, détails de cartes bancaires), distribution de spam, désinformation et déni d’accès [1]. Il peut utiliser des images et autres médias comme charges utiles, se propageant sans indicateurs malveillants évidents [1]. Les tests ont démontré sa capacité à infecter ChatGPT, Gemini et LLaVA en forçant les assistants email IA à lire, exfiltrer et redistribuer automatiquement des messages infectés [2].
« Préparez-vous. Parce que si nous développons un proof-of-concept, cela signifie que les cybercriminels le font déjà. »
James McQuiggan, Expert en sécurité chez KnowBe4
Impact et applications malveillantes
Les applications IA autonomes représentent désormais des cibles privilégiées pour les acteurs malveillants [2]. Morris II démontre comment les assistants IA d’entreprise peuvent devenir des vecteurs de propagation massive de malwares et de vol de données à l’échelle organisationnelle [1]. Les chercheurs ont alerté l’industrie sur le fait que ces vulnérabilités pourraient être exploitées dans un délai de deux à trois ans [5].
Points clés en 3-4 items :
- Compromission des assistants email IA pour vol massif de données personnelles et professionnelles
- Capacité à générer du contenu sophistiqué contournant les filtres automatisés et la vigilance humaine
- Exploitation de l’interconnexion croissante des écosystèmes IA pour une propagation cross-plateforme
- Risque accru avec l’autonomie grandissante accordée aux agents IA dans les entreprises
Perspectives et prochaines étapes
Bien qu’aucune attaque réelle utilisant des vers IA n’ait été détectée à ce jour, les experts considèrent cette menace comme tangible à court terme [5]. L’équipe de recherche travaille à soumettre ses découvertes aux conférences académiques et industrielles pour permettre aux développeurs d’IA de corriger ces failles fondamentales [5]. L’utilisation malveillante de l’IA générative s’accélère : en février 2024, OpenAI et Microsoft ont fermé plusieurs comptes associés à des organisations cybercriminelles exploitant ces technologies pour du phishing et la création de malwares [6].
« L’automatisation croissante des attaques représente une préoccupation majeure pour les cinq prochaines années. »
Stav Cohen, Chercheur au Technion Institute
FAQ : Questions essentielles
Morris II est un ver informatique expérimental auto-répliquant qui cible spécifiquement les systèmes d’intelligence artificielle générative. Il exploite les modèles de langage via des prompts adverses pour se propager automatiquement entre applications IA interconnectées.
Morris II reste une création de recherche en laboratoire. Aucune attaque réelle n’a été observée, mais les experts prévoient que des versions malveillantes pourraient émerger dans les deux à trois prochaines années.
Actuellement, Morris II est le premier ver IA documenté. D’autres malwares IA comme WormGPT 4 et KawaiiGPT existent, mais servent à créer du contenu malveillant plutôt qu’à infecter directement les modèles de langage.
Les organisations utilisant des assistants IA pour gérer leurs emails et données risquent une exfiltration massive d’informations sensibles. Les systèmes interconnectés amplifient la surface d’attaque et permettent une propagation rapide entre utilisateurs et plateformes.
Le principal risque réside dans l’absence de solutions de détection efficaces : les vers IA génèrent du contenu convaincant difficile à identifier. Les défenses traditionnelles anti-malware sont inefficaces car l’attaque exploite les fonctionnalités légitimes des modèles de langage plutôt que des vulnérabilités logicielles classiques.
intelligence artificielle, cybersécurité, malware, modèles de langage, vers informatiques
Sources
- Researchers develop malicious AI ‘worm’ targeting generative AI – IBM (ibm.com)
- AI Worms Explained: Adaptive Malware Threats – SentinelOne (sentinelone.com)
- Bilan cybersécurité 2024 et perspectives 2025 – Tyrex Cyber (tyrex-cyber.com)
- GenAI Worms: An Insidious Potential Threat – Antispoofing Wiki (antispoofing.org)
- AI worms demonstrate ‘new kind of cyberattack’ – IT Brew (itbrew.com)
- L’IA générative : quelles sont les cybermenaces – Revue Française de Comptabilité (revuefrancaisedecomptabilite.fr)
