HalluSquatting : la nouvelle attaque qui transforme les IA en vecteurs de botnet
Aurélien Fontevive
Une hallucination qui devient une menace réelle
Imaginez que vous demandez à votre assistant de codage IA de récupérer une bibliothèque populaire. Au lieu de vous donner le vrai nom, il invente un nom de projet qui n’existe pas, mais qui semble parfaitement crédible. Ce phénomène, appelé hallucination, est bien connu des développeurs. Mais une nouvelle recherche, baptisée HalluSquatting, transforme ce défaut en une arme redoutable : des attaquants peuvent exploiter ces noms fictifs pour piéger les assistants et les amener à exécuter du code malveillant, voire à installer un botnet.
Selon une étude menée par Aya Spira et ses collègues du groupe de Ben Nassi à l’Université de Tel Aviv, en collaboration avec Stav Cohen du Technion et Ron Bitton d’Intuit, cette attaque repose sur une chaîne de deux failles : l’hallucination et l’injection de prompt indirecte. Les résultats sont alarmants : dans 85 % des requêtes de dépôts et 100 % des installations de compétences, l’assistant a choisi le même faux nom de manière prévisible. Les outils testés incluent Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI de Google et la famille OpenClaw.
Dans cet article, nous allons décortiquer le fonctionnement de l’attaque HalluSquatting, comprendre pourquoi elle représente une menace inédite pour la cybersécurité des entreprises françaises, et surtout, vous donner les clés pour vous protéger.
Comment fonctionne l’attaque HalluSquatting ?
L’attaque combine deux comportements des IA génératives : l’hallucination et l’injection de prompt indirecte. Voici le processus en quatre étapes.
1. Identifier une cible populaire
L’attaquant repère un dépôt GitHub ou un plugin qui devient soudainement tendance. Plus un outil est demandé, plus l’assistant risque de l’invoquer. Or, un nouveau dépôt n’est pas dans les données d’entraînement de l’IA, ce qui augmente la probabilité qu’elle invente un nom.
2. Forcer l’hallucination
L’attaquant interroge l’assistant à plusieurs reprises pour récupérer cette ressource. Il enregistre le nom fictif que l’IA invente le plus souvent. La recherche montre que ce nom est souvent le même, même avec des formulations différentes et sur des modèles de différents fournisseurs.
« Dans les expériences, l’erreur était cohérente : l’assistant a choisi le même mauvais nom dans jusqu’à 85 % des requêtes de dépôts et 100 % des installations de compétences. » - Extrait du rapport de recherche.
3. Enregistrer le nom fictif
L’attaquant enregistre ce nom sur GitHub, un registre de plugins ou un autre marché. Il y dissimule des instructions malveillantes, par exemple un script qui installe un botnet.
4. Piéger l’utilisateur
Un développeur légitime demande à son assistant de récupérer la ressource populaire. L’IA, fidèle à son hallucination, invoque le nom fictif et télécharge la version piégée. Les instructions cachées sont alors injectées dans le prompt, et l’assistant, croyant suivre les ordres de l’utilisateur, exécute les commandes malveillantes.
« L’injection est de type indirect : elle arrive dans le contenu que l’assistant récupère, pas dans ce que l’utilisateur tape. » - Précision des chercheurs.
Pourquoi le piège fonctionne-t-il ?
Le piège n’est pas un code qui s’exécute tout seul. Il fonctionne parce que les assistants de codage disposent d’outils intégrés, notamment un terminal. Une fois que les instructions injectées prennent le contrôle, « installer un bot » devient une simple commande que l’assistant peut exécuter.
Pourquoi HalluSquatting crée un nouveau type de botnet
Les botnets traditionnels nécessitent des efforts considérables : mots de passe faibles, vers, ou exploitation de vulnérabilités réseau. Le botnet Mirai, par exemple, infectait des caméras et des routeurs. HalluSquatting change la donne.
Aucune exploitation réseau
L’attaque ne nécessite ni mot de passe ni faille de sécurité classique. Le payload arrive sous forme de texte que l’IA lit, et non d’une exploitation réseau. Les pare-feu traditionnels ne détectent pas ce type de menace.
Hétérogénéité des cibles
Contrairement à un botnet classique qui cible un type d’appareil homogène, HalluSquatting peut toucher n’importe quelle machine exécutant un assistant de codage IA, quel que soit son système d’exploitation.
« L’IA est le véhicule de livraison, pas la cargaison. Les instructions piégées l’incitent à installer un bot ordinaire, et une fois que ce bot tourne, la machine appartient à un botnet comme n’importe quelle autre. » - Résumé des chercheurs.
Une combinaison inédite
Les éléments ne sont pas nouveaux individuellement. Le « slopsquatting » (enregistrement de noms de paquets fictifs inventés par l’IA) a été découvert en janvier 2026 par Charlie Eriksen d’Aikido Security, qui a trouvé le paquet npm react-codeshift déjà présent dans 237 projets. Le « phantom squatting » (enregistrement de domaines fictifs) a été décrit par Palo Alto Networks (Unit 42) avec environ 250 000 domaines hallucinés non enregistrés. Mais HalluSquatting va plus loin : il permet d’exécuter du code en détournant l’agent qui fait la récupération.
Le contexte réglementaire français : RGPD et ANSSI
En France, la cybersécurité est encadrée par des textes stricts. Le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises de protéger les données personnelles. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie des recommandations pour les logiciels et les pratiques de développement.
Implications pour les DPO et RSSI
- RGPD : Une infection par botnet peut entraîner une fuite de données. L’obligation de notification de violation (72 heures) s’applique. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
- ANSSI : Les guides de l’ANSSI, comme le Guide de sélection d’outils de développement sécurisé, recommandent de vérifier l’intégrité des dépendances. HalluSquatting contourne ces vérifications si l’assistant agit sans contrôle.
« Les entreprises françaises doivent intégrer ces nouvelles menaces dans leur analyse de risques, notamment dans le cadre de la conformité RGPD et des recommandations ANSSI. » - Extrait d’un rapport de l’ANSSI sur les menaces liées à l’IA (2025).
Comment se protéger contre HalluSquatting ?
Heureusement, des mesures existent pour contrer cette attaque. Elles se situent à plusieurs niveaux.
Pour les utilisateurs et les équipes sécurité
- Ne pas utiliser les modes automatiques non supervisés : Les modes comme
skip-permissionsdans Claude Code ouyolodans Gemini CLI désactivent les demandes de confirmation. Évitez-les absolument. - Activer les couches de sécurité : Des outils comme le mode
autode Claude Code ouConsecade Gemini CLI inspectent ce que l’agent lit avant d’agir. Ils réduisent le risque sans l’éliminer. - Vérifier les noms avant de les utiliser : Avant qu’un agent ne télécharge une ressource, assurez-vous que le nom correspond au dépôt officiel. Traitez tout nom fourni par l’IA comme une hypothèse, pas un fait.
- Limiter les permissions de l’assistant : Configurez l’assistant pour qu’il demande une confirmation avant d’exécuter des commandes système (
clone,install,fetch).
Pour les plateformes et les éditeurs
- Pré-enregistrer les noms fictifs : Les plateformes comme GitHub peuvent enregistrer préventivement les noms que les IA inventent le plus souvent, comme on le fait déjà contre le typosquatting.
- Empêcher le recyclage des noms : Interdire la réutilisation de noms de dépôts connus sous de nouveaux comptes.
- Former les modèles à la vérification : Les concepteurs d’IA peuvent entraîner le « planificateur » (la partie qui traduit une requête en étapes) à effectuer une recherche avant de récupérer une ressource.
Tableau comparatif des mesures de protection
| Niveau | Mesure | Efficacité | Facilité de mise en œuvre |
|---|---|---|---|
| Utilisateur | Désactiver les modes automatiques | Élevée | Très facile |
| Utilisateur | Vérifier les noms manuellement | Élevée | Modérée (nécessite discipline) |
| Équipe sécurité | Activer les couches de sécurité | Moyenne | Facile |
| Plateforme | Pré-enregistrer les noms fictifs | Élevée | Modérée (coût opérationnel) |
| Éditeur | Former les modèles à la recherche | Très élevée | Difficile (nécessite des données) |
Exemples concrets d’attaques potentielles
Cas 1 : Dans une PME française du secteur financier
Une PME utilise Cursor pour développer une application de gestion de transactions. Un développeur demande à l’assistant d’installer une bibliothèque de chiffrement récemment publiée. L’IA hallucine un nom, télécharge un plugin malveillant qui installe un botnet. Les données clients sont exfiltrées. La PME est sanctionnée par la CNIL pour non-conformité RGPD.
Cas 2 : Dans une grande entreprise industrielle
Une équipe R&D utilise GitHub Copilot en mode automatique. Un attaquant a enregistré un nom fictif pour une bibliothèque de traitement d’images. L’assistant l’installe, le botnet se propage sur le réseau interne. L’ANSSI est alertée, l’entreprise doit interrompre sa production pendant 48 heures.
Les limites de la recherche et les perspectives
Les chercheurs reconnaissent que leurs résultats sont une borne inférieure : « Les attaques ne font que s’améliorer ; elles ne s’aggravent jamais. » Il n’existe pas de CVE unique à corriger. Le problème est structurel : c’est une faiblesse dans la manière dont les agents IA font confiance à des noms qu’ils n’ont jamais reçus.
Que faire si vous êtes victime ?
- Déconnecter immédiatement la machine du réseau pour limiter la propagation.
- Analyser les logs de l’assistant pour identifier l’hallucination et le nom fictif.
- Signaler l’incident à l’ANSSI (pour les infrastructures critiques) ou à la CNIL (en cas de fuite de données).
- Mettre à jour les configurations pour désactiver les modes automatiques.
Conclusion : restez vigilant face aux hallucinations des IA
L’attaque HalluSquatting illustre une nouvelle catégorie de menaces : celles qui exploitent les faiblesses cognitives des IA plutôt que des vulnérabilités logicielles classiques. En France, les entreprises doivent intégrer cette menace dans leur stratégie de cybersécurité, en lien avec les exigences du RGPD et les recommandations de l’ANSSI.
Points clés à retenir :
- HalluSquatting : enregistrement de noms fictifs inventés par les IA pour piéger les assistants de codage.
- Risque : installation de botnet sans exploitation réseau, touchant des machines hétérogènes.
- Protection : désactiver les modes automatiques, vérifier les noms, activer les couches de sécurité.
La cybersécurité ne s’arrête pas aux failles logicielles. Les hallucinations des IA sont devenues une surface d’attaque à part entière.
Pour renforcer vos connaissances, consultez notre sélection des meilleurs livres de cybersécurité.
Prochaine action : Auditez dès aujourd’hui les configurations de vos assistants de codage. Vérifiez que les modes automatiques sont désactivés et que vos équipes sont formées à ces nouvelles menaces. La sécurité de votre entreprise en dépend.