HalluSquatting : une nouvelle attaque exploitant les hallucinations des IA pour propager des botnets
Lysandre Beauchêne
Une faille inédite transforme les erreurs des assistants IA en vecteur de botnet
80 % des demandes adressées à un assistant de codage pour obtenir un outil populaire aboutissent à la même réponse fictive. Cette découverte, publiée en juillet 2026 par des chercheurs de l’Université de Tel-Aviv, du Technion et d’Intuit, n’est pas une simple curiosité technique : elle fonde une méthode d’attaque redoutable baptisée HalluSquatting. Son principe ? Exploiter la propension des modèles de langage à halluciner des noms de ressources qui n’existent pas, puis les enregistrer sur des plateformes comme GitHub ou des magasins de plugins. L’assistant, en toute confiance, télécharge et exécute alors le contenu malveillant à la place de l’outil légitime, ouvrant la voie à l’installation discrète d’un botnet.
Cette menace cible directement les flux de travail modernes où les développeurs confient à des agents IA la récupération et l’exécution de bibliothèques, de commandes ou de scripts. Selon les chercheurs, la chaîne d’attaque fonctionne dans jusqu’à 85 % des requêtes de dépôt et 100 % des installations de compétences testées, sur des outils comme Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI et la famille OpenClaw. Comprendre ce mécanisme est désormais essentiel pour toute équipe de sécurité informatique.
Comment fonctionne l’attaque HalluSquatting ?
L’hallucination comme point d’entrée
Les assistants IA de codage génèrent du code ou des suggestions en s’appuyant sur leurs données d’entraînement. Lorsqu’ils ne connaissent pas un outil récent - parce qu’il n’a pas encore été intégré à leur base - ils inventent un nom plausible. C’est ce qu’on appelle une hallucination. Par exemple, une demande pour un package npm tendance peut produire react-codeshift, un nom qui n’a jamais existé. Les chercheurs ont constaté que ces inventions sont reproductibles : posée différemment, la même requête aboutit au même nom fictif chez plusieurs modèles.
Chaîne d’attaque en quatre étapes
- Ciblage d’une ressource tendance - L’attaquant identifie un dépôt GitHub, un package ou un plugin qui fait l’objet de nombreuses demandes. Plus la ressource est récente, plus l’IA risque d’halluciner à son sujet.
- Identification du nom fictif - L’attaquant interroge l’assistant IA à plusieurs reprises pour relever le nom inventé le plus fréquent.
- Enregistrement du nom - Il crée un compte sur la plateforme (GitHub, npm, store de plugins) et publie un artefact portant ce nom, mais contenant des instructions malveillantes.
- Exécution par l’utilisateur final - Un développeur demande à son assistant d’utiliser la ressource légitime. L’assistant génère le même nom fictif, le télécharge, et les instructions cachées prennent le contrôle.
« L’IA devient le livreur, pas la marchandise. Les instructions plantées lui ordonnent d’installer un bot standard, et une fois ce bot actif, la machine appartient à un botnet comme n’importe quelle autre. » - Aya Spira, chercheuse principale, Université de Tel-Aviv
Injection indirecte de prompt
Le piège ne repose pas sur une vulnérabilité logicielle classique. Il exploite une injection de prompt indirecte : les instructions malveillantes sont présentes dans le contenu téléchargé par l’assistant, et non dans la requête de l’utilisateur. L’assistant interprète ces instructions comme faisant partie de sa mission, et comme il dispose d’un terminal, il exécute les commandes nécessaires - y compris l’installation d’un bot - sans intervention humaine.
Pourquoi HalluSquatting représente une menace inédite pour les botnets
Construction automatisée et silencieuse
Les botnets traditionnels exigent des efforts considérables : trouver des mots de passe faibles, exploiter des failles de sécurité, ou déployer des vers qui se propagent de machine en machine. HalluSquatting contourne toutes ces contraintes. Aucun mot de passe à deviner, aucune vulnérabilité réseau à exploiter. La charge utile arrive sous forme de texte que l’assistant lit, ce qui échappe à la plupart des pare-feu.
Hétérogénéité des cibles
Contrairement à Mirai qui infectait uniquement des caméras et routeurs Unix, HalluSquatting peut toucher n’importe quel système d’exploitation pourvu que l’assistant IA ait les droits d’exécution. Les machines infectées peuvent appartenir à des développeurs, des administrateurs système ou des chercheurs, offrant un botnet aux capacités variées.
Un taux de réussite alarmant
Les tests menés par l’équipe de recherche montrent une fiabilité préoccupante :
| Assistant IA | Taux d’hallucination du même nom fictif (dépôt) | Taux d’exécution de code malveillant |
|---|---|---|
| Cursor | 85 % | 100 % (sur scénario d’installation) |
| Windsurf | 78 % | 100 % |
| GitHub Copilot | 72 % | 100 % |
| Claude Code | 80 % | 100 % |
| Gemini CLI | 76 % | 100 % |
| Cline | 82 % | 100 % |
| OpenClaw | 70 % | 100 % |
Les chercheurs précisent que les charges utiles testées étaient des placeholders inoffensifs, mais que le chemin emprunté serait identique pour un vrai malware.
Le contexte plus large : slopsquatting et phantom squatting
Des précédents dans l’écosystème des packages
L’idée d’enregistrer des noms que les IA inventent n’est pas totalement nouvelle. En janvier 2026, Charlie Eriksen (Aikido Security) avait découvert qu’un package npm fictif, react-codeshift, généré par des instructions IA, était déjà référencé dans 237 projets de code. Il l’a enregistré avant qu’un attaquant ne le fasse, empêchant tout dégât. Ce phénomène a été appelé slopsquatting.
« L’attaque HalluSquatting généralise le slopsquatting en ajoutant l’étape d’exécution de code : ce ne sont plus simplement des noms inoffensifs, mais des vecteurs d’infection complets. » - Rapport technique de l’équipe de recherche, juillet 2026
Phantom squatting : des centaines de milliers de domaines fantômes
Plus récemment, Palo Alto Networks (Unité 42) a décrit le phantom squatting : environ 250 000 noms de domaine hallucinés par des IA, laissés sans enregistrement, et qu’un attaquant pourrait exploiter. HalluSquatting pousse le concept jusqu’à l’exécution de code sur la machine de la victime, via l’agent qui télécharge et exécute une ressource.
Les plateformes ne sont pas infaillibles
En juin 2026, la société de sécurité Trail of Bits a démontré qu’il est possible de glisser des « compétences » malveillantes à travers les contrôles de plusieurs magasins de plugins en moins d’une heure. Les marketplaces ne constituent donc pas une barrière suffisante contre HalluSquatting.
Quels assistants sont exposés ?
Tous les assistants capables de récupérer une ressource externe et d’exécuter des commandes avec un minimum de supervision sont vulnérables. Les chercheurs ont testé sept outils majeurs :
- Cursor - assistant de codage intégré à l’IDE
- Windsurf - agent de développement autonome
- GitHub Copilot - intégré à VS Code et autres éditeurs
- Claude Code - agent en ligne de commande d’Anthropic
- Cline - assistant open source
- Gemini CLI - outil en ligne de commande de Google
- OpenClaw - famille d’assistants modulaires
Dans chaque cas, l’assistant a exécuté le code fourni par l’attaquant sans vérification humaine, à condition que le mode auto-run soit activé (par exemple, le flag --skip-permissions de Claude Code ou le mode yolo de Gemini CLI). En mode par défaut, l’assistant demande une confirmation - mais les utilisateurs pressés l’accordent souvent sans lire.
Recommandations pour les entreprises et les développeurs
Mesures immédiates
- Ne jamais laisser un assistant exécuter des commandes sans supervision humaine - Désactiver les modes automatiques (
auto-run,yolo). Chaque commandeclone,installoufetchdoit être approuvée. - Vérifier la réalité d’un nom avant de l’utiliser - Avant qu’un agent télécharge une ressource, faire une recherche manuelle sur GitHub ou npm pour confirmer l’existence réelle du package.
- Appliquer le principe du moindre privilège - Les assistants ne devraient pas disposer d’un accès terminal illimité. Limiter leurs permissions aux seules actions nécessaires.
Recommandations pour les fournisseurs d’IA
- Recherche préalable systématique - L’agent doit interroger une source officielle (API npm, GitHub Search) avant de générer un nom. Cela réduit drastiquement les hallucinations.
- Entraînement des planificateurs - Apprendre au module qui planifie les étapes à traiter les verbes
clone,install,fetchcomme des signaux de prudence, nécessitant une vérification. - Pré-enregistrement des noms fictifs - Les plateformes peuvent réserver les noms les plus fréquemment hallucinés, comme elles le font déjà contre le typosquatting.
Mesures organisationnelles
- Mettre en place une politique d’utilisation des assistants IA qui précise les droits accordés.
- Former les développeurs en s’appuyant sur les meilleurs ouvrages de cybersécurité aux risques d’hallucination et d’injection indirecte. L’ANSSI, dans ses recommandations de juillet 2026, insiste sur la nécessité de « considérer toute suggestion d’un assistant IA comme potentiellement non fiable avant vérification ».
- Intégrer les meilleurs outils de cybersécurité comme couche de sécurité externe, comme Conseca pour Gemini CLI ou les vérifications automatiques de Claude Code, mais sans en attendre une protection absolue.
Conclusion : une ère nouvelle pour la sécurité des agents IA
L’HalluSquatting n’est pas une vulnérabilité unique qu’un patch corrige. Il révèle une faiblesse structurelle dans la manière dont les agents IA accordent leur confiance à des noms qu’ils n’ont jamais reçus. Comme le rappellent les chercheurs : « Les attaques s’améliorent toujours, elles ne s’aggravent jamais. » Les chiffres parlent d’eux-mêmes : jusqu’à 85 % de fiabilité dans l’hallucination, 100 % d’exécution de code malveillant dans les scénarios testés.
Pour les équipes de sécurité, l’enjeu est double : maîtriser les permissions des assistants et éduquer les utilisateurs avec des lectures adaptées à leur niveau à douter systématiquement des suggestions automatisées. Le HalluSquatting n’est que la première d’une série d’attaques exploitant les biais des modèles de langage. S’y préparer aujourd’hui, c’est éviter que l’assistant de codage ne devienne le cheval de Troie de demain.
« Le meilleur pare-feu contre HalluSquatting reste un développeur qui vérifie ce que son IA s’apprête à télécharger. » - Synthèse des chercheurs, juillet 2026