HalluSquatting : quand votre assistant IA installe un botnet à votre insu
Célestine Rochefour
En juillet 2025, une équipe de chercheurs de l’université de Tel Aviv a démontré une attaque redoutable : en exploitant les hallucinations des assistants de codage, un attaquant peut forcer l’IA à installer un botnet sur la machine de l’utilisateur. Baptisée HalluSquatting, cette méthode combine un défaut bien connu des grands modèles de langage - leur tendance à inventer des informations plausibles mais inexistantes - avec une injection indirecte de commandes malveillantes. Les résultats sont frappants : selon les tests, dans 85 % des requêtes de dépôt et 100 % des installations d’extensions, l’assistant utilisait systématiquement un même nom fictif pré-enregistré par l’attaquant. Cet article vous explique en détail le mécanisme de l’attaque HalluSquatting, son potentiel destructeur pour les environnements de développement, et les mesures concrètes pour s’en protéger.
Qu’est-ce que l’attaque HalluSquatting ?
L’HalluSquatting repose sur deux propriétés des agents d’IA actuels : les hallucinations et la capacité d’exécuter des commandes système. Un assistant de codage, lorsqu’on lui demande de récupérer une bibliothèque ou un outil populaire, peut inventer un nom de package qui semble crédible mais qui n’existe pas. Cette invention n’est pas aléatoire : les chercheurs ont observé que, pour un même outil, l’IA propose le même faux nom dans plus de 85 % des cas, même en changeant la formulation de la question ou en utilisant des modèles de fournisseurs différents (Cursor, Windsurf, GitHub Copilot, Cline, Google Gemini CLI, OpenClaw).
L’attaque se déroule en quatre étapes simples :
- Sélection de la cible : l’attaquant identifie un dépôt ou un plugin très demandé, donc souvent invoqué par les assistants. Plus le sujet est récent, plus l’IA risque d’halluciner son nom.
- Apprentissage de l’hallucination : en questionnant plusieurs fois l’assistant, l’attaquant relève le nom fictif le plus fréquemment généré.
- Enregistrement du nom : il publie ce nom sur GitHub, un registre npm ou une boutique d’extensions, en y dissimulant des instructions malveillantes (par exemple un script de téléchargement de botnet).
- Déclenchement : un développeur légitime demande à son assistant de récupérer le package populaire. L’IA, fidèle à son hallucination, va chercher le faux nom et télécharge le contenu piégé. Les instructions cachées s’intègrent alors dans le flux de commandes, et l’assistant - disposant d’un accès au terminal - les exécute.
« L’IA devient le véhicule de livraison, pas la cargaison. Les instructions plantées la détournent pour installer un botnet classique, mais le vecteur d’entrée est totalement inédit. » - Aya Spira, chercheuse principale.
Pourquoi les hallucinations sont-elles si prévisibles ?
Les modèles de langage génèrent des noms en se basant sur des patterns statistiques appris lors de l’entraînement. Pour un outil récent absent de leurs données, ils combinent des éléments fréquents (comme « react- », « cli- », « -helper ») pour produire un nom plausible. Les chercheurs ont mesuré une cohérence impressionnante : toutes les variantes de requêtes menaient au même faux nom, et ce pour tous les assistants testés. Cette répétabilité est la clé qui rend l’attaque exploitable à grande échelle.
Comment HalluSquatting dépasse les menaces existantes
Pour comprendre l’ampleur du danger, comparons HalluSquatting avec des techniques antérieures comme le slopsquatting ou le phantom squatting. Le tableau ci-dessous résume les différences essentielles :
| Attaque | Vecteur | Action finale | Supervision humaine requise | Portée |
|---|---|---|---|---|
| Slopsquatting (2025) | Noms de packages inventés par l’IA | Installation de paquets via npm/pip | Faible (si l’utilisateur exécute la commande) | Modérée |
| Phantom squatting (2025) | Noms de domaines hallucinés par l’IA | Redirection vers un site malveillant | Moyenne (clic sur un lien) | Large (Web) |
| HalluSquatting (2025) | Hallucination + injection indirecte | Exécution de code sur la machine cible | Très faible (l’IA agit sans validation) | Très large (tous les OS, passage sous les firewalls) |
L’HalluSquatting ne nécessite pas de faille de sécurité classique (mot de passe faible, vulnérabilité réseau). Le piège arrive sous forme de texte que l’agent lit, ce qui rend la détection par les pare-feu quasi impossible. De plus, n’importe quel système d’exploitation peut être touché, contrairement aux botnets traditionnels ciblant souvent un seul type d’appareil.
« Les pièces ne sont pas nouvelles, mais leur combinaison l’est. Un nom que l’IA invente de façon prévisible, une place de marché où ce nom peut être enregistré, et un agent autorisé à le récupérer et à l’exécuter. » - Extrait du rapport de recherche.
Des précédents inquiétants
En janvier 2025, Charlie Eriksen d’Aikido Security avait découvert qu’un package npm imaginaire nommé react-codeshift - inventé par une IA - était déjà référencé dans 237 projets de code. Il l’a enregistré avant qu’un attaquant ne le fasse, évitant un incident massif. Par ailleurs, l’équipe de Palo Alto Networks Unit 42 a identifié environ 250 000 noms de domaine hallucinés par des IA, tous libres d’enregistrement (phantom squatting). En juin 2025, Trail of Bits a démontré qu’il était possible de faire passer des « compétences » malveillantes devant les scanners de plusieurs boutiques d’extensions en moins d’une heure. Ces exemples montrent que les mécanismes de défense actuels sont insuffisants.
Quels outils sont vulnérables ?
Les chercheurs ont testé les assistants suivants, qui ont tous exécuté le code malveillant de l’attaquant lors de l’expérience :
- Cursor
- Windsurf
- GitHub Copilot
- Cline
- Google Gemini CLI
- OpenClaw (famille d’assistants)
Les charges utiles utilisées étaient des indicateurs inoffensifs, mais une attaque réelle suivrait exactement le même chemin. Aucun outil n’est épargné dès lors qu’il combine une capacité à récupérer des ressources externes et un accès au terminal avec des permissions d’exécution.
Comment se protéger contre HalluSquatting ?
La parade fondamentale est simple : ne jamais laisser l’agent exécuter des commandes sans vérification humaine. Toutefois, plusieurs couches de défense peuvent être mises en place.
Pour les développeurs utilisant des assistants IA
- Désactiver les modes d’exécution automatique : évitez les options comme
--skip-permissions(Claude Code) ouyolo(Gemini CLI). Préférez les modes qui demandent une confirmation avant chaque commande. - Vérifier l’existence réelle d’un package : avant d’autoriser l’installation, recherchez manuellement le nom proposé sur GitHub ou le registre officiel. Tout nom inventé par l’IA doit être considéré comme suspect jusqu’à preuve du contraire.
- Utiliser les couches de sécurité intégrées : certains outils récents (Claude Code auto mode, Gemini CLI avec Conseca) analysent les instructions contenues dans les ressources téléchargées avant de les exécuter. Cela réduit le risque sans l’éliminer complètement.
- Mettre à jour régulièrement : les éditeurs sont avertis et peuvent déployer des correctifs (ex : recherche préalable du nom dans une base de confiance).
Pour les entreprises et les équipes de sécurité
- Établir une politique d’utilisation des agents IA : interdire les modes automatiques, limiter les accès aux registres non approuvés.
- Auditer les logs d’exécution : surveiller les commandes
clone,install,fetchprovenant des assistants. - Mettre en place un proxy de vérification : forcer tout téléchargement à passer par un service qui valide le nom du package par rapport à une liste de projets réels.
- Sensibiliser les développeurs aux risques d’hallucination : former aux signaux d’alerte (nom étrange, version récente sans historique).
Pour les plateformes et les créateurs d’assistants
- Pré-enregistrer les noms hallucinés : comme on le fait déjà pour le typosquatting, les plateformes peuvent réserver les noms que les IA inventent le plus souvent et les rediriger vers le projet authentique.
- Empêcher la réutilisation de noms connus sous de nouveaux comptes (vérification d’identité, délai de carence).
- Améliorer la détection des contenus malveillants : les scanners doivent analyser non seulement le code, mais aussi les instructions textuelles (prompts) cachées dans les fichiers.
« Il n’y a pas de CVE unique à corriger. C’est une faiblesse dans la manière dont les agents IA font confiance à des noms qu’on ne leur a jamais donnés. » - Les chercheurs.
HalluSquatting : une menace durable pour les environnements de développement
L’attaque HalluSquatting illustre parfaitement comment des propriétés fondamentales des IA génératives - ici l’hallucination - peuvent être détournées à grande échelle. Les chercheurs préviennent : « Les attaques ne font que s’améliorer ; elles ne régressent jamais. » Le vecteur exploité n’est pas un bug logiciel classique, mais un comportement inhérent aux modèles de langage. Tant que les assistants seront capables d’inventer des noms et d’exécuter des commandes, la menace persistera.
Pour les professionnels de la cybersécurité, cette découverte doit inciter à revoir les politiques de confiance accordée aux agents IA. L’enjeu n’est pas simplement technique : c’est une question de conception des systèmes où l’IA agit comme intermédiaire entre l’utilisateur et des ressources externes. Vérifier avant d’exécuter reste la règle d’or, mais elle doit être complétée par des mécanismes de validation automatique des noms de ressources.
En attendant des correctifs structurels (recherche systématique des noms avant téléchargement, filtrage des hallucinations, pré-enregistrement des noms fictifs), la vigilance individuelle et collective est la meilleure défense. Les développeurs, les équipes SecOps et les fournisseurs d’IA doivent collaborer pour faire de l’HalluSquatting un danger connu et maîtrisé, plutôt qu’une faille exploitée en silence.
Checklist de protection rapide
- Désactiver les modes autonomes des assistants
- Configurer une confirmation systématique avant commande
- Utiliser un outil de vérification de noms de packages (ex : script de comparaison avec les registres officiels)
- Mettre à jour les assistants avec les derniers correctifs de sécurité
- Former les développeurs à reconnaître une hallucination suspecte
- Surveiller les logs d’exécution des agents pour détecter des commandes anormales
Adopter ces bonnes pratiques dès maintenant permet de réduire significativement le risque d’être victime d’une attaque HalluSquatting. Le paysage des menaces évolue rapidement : restez informé et proactif.