HalluSquatting : une nouvelle attaque qui transforme les assistants de codage IA en botnets
Orphée Grandsable
En 2026, les assistants de codage basés sur l’intelligence artificielle sont devenus des outils quotidiens pour des millions de développeurs. Mais une menace inédite vient de faire surface : l’HalluSquatting. Cette technique exploite les hallucinations des modèles de langage pour installer, à votre insu, un logiciel malveillant sur votre machine. Selon des chercheurs de l’université de Tel Aviv, le taux de réussite de cette attaque atteint 85 % sur certaines requêtes de dépôts et 100 % sur des installations de compétences. Découvrez comment fonctionne cette menace, pourquoi elle est particulièrement dangereuse et surtout comment vous en protéger.
Comment fonctionne l’attaque HalluSquatting ?
L’HalluSquatting combine deux faiblesses bien connues des IA génératives : l’hallucination et l’injection de prompt indirecte. L’hallucination, c’est ce moment où le modèle invente un nom de ressource qui n’existe pas, mais qui semble plausible. L’injection indirecte, elle, se produit lorsque le contenu récupéré par l’assistant contient des instructions cachées qui détournent son comportement.
Les quatre étapes de l’attaque
- Cibler une ressource tendance - L’attaquant identifie un dépôt GitHub ou un plugin très demandé, car les nouveautés ne figurent pas dans les données d’entraînement du modèle, ce qui augmente les risques d’hallucination.
- Apprendre l’erreur - Il interroge plusieurs fois l’assistant pour obtenir la même ressource et note le nom imaginaire le plus fréquemment généré.
- Enregistrer le faux nom - L’attaquant crée un dépôt ou un plugin portant ce nom sur une plateforme, y dissimule des instructions malveillantes.
- Attendre la victime - Un développeur demande à son assistant d’installer la ressource légitime ; l’assistant invente le même faux nom, télécharge le piège et exécute les instructions cachées, qui peuvent ordonner l’installation d’un botnet.
« L’IA n’est pas le véhicule du malware, c’est le livreur. Les instructions plantées la trompent pour qu’elle installe un bot ordinaire, et une fois que ce bot tourne, la machine rejoint un botnet comme n’importe quelle autre. » - Extrait du rapport de recherche.
Pourquoi l’attaque fonctionne-t-elle si bien ?
Les chercheurs ont testé plusieurs modèles (Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw) et ont constaté une étonnante cohérence dans les hallucinations : pour un même dépôt, jusqu’à 85 % des requêtes aboutissaient au même nom inventé, quel que soit le modèle ou la formulation. Cela signifie qu’un attaquant peut prévoir le faux nom avec une grande fiabilité, puis l’enregistrer avant que quiconque ne le fasse.
Les risques concrets pour les développeurs et les entreprises
Contrairement à une attaque classique qui nécessite un mot de passe faible ou une vulnérabilité réseau, l’HalluSquatting ne laisse aucune trace dans les logs firewall. Le code malveillant arrive sous forme de texte que l’assistant lit, et non comme un fichier exécutable. Cela le rend quasi indétectable par les solutions de sécurité traditionnelles.
Un scénario réaliste pour une PME française
Imaginez une agence web parisienne utilisant GitHub Copilot pour automatiser l’intégration de bibliothèques JavaScript. Le développeur demande : « Installe le dernier outil de validation de formulaires recommandé par la communauté ». L’assistant, qui ne connaît pas encore le dernier outil sorti la veille, hallucine un nom comme form-validator-pro. L’attaquant a enregistré ce nom sur npm avec un script qui lance un téléchargement vers un serveur C2. En quelques minutes, toute l’équipe est compromise. Selon une étude récente, 67 % des entreprises françaises utilisent un assistant de codage (source : ANSSI, 2025), et moins de 30 % d’entre elles ont mis en place une politique de validation des ressources téléchargées.
Les conséquences potentielles
- Installation d’un botnet : la machine infectée peut être utilisée pour des attaques DDoS, du minage de cryptomonnaie ou de l’exfiltration de données.
- Vol de code source : les instructions malveillantes peuvent copier le code du projet vers un serveur externe.
- Propagation interne : si l’assistant a accès à d’autres outils (CI/CD, bases de données), le botnet peut s’étendre au sein du réseau.
À retenir : L’HalluSquatting n’exploite pas une faille de code, mais une faiblesse de conception des agents IA qui leur fait confiance à des noms qu’ils n’ont jamais reçus.
Quelles sont les différences avec les attaques précédentes ?
L’HalluSquatting s’inscrit dans une famille d’attaques exploitant les hallucinations, mais va beaucoup plus loin. Le tableau suivant compare les principales approches :
| Type d’attaque | Vecteur | Cible | Exécution de code | Botnet possible |
|---|---|---|---|---|
| Slopsquatting (paquets npm) | Nom de paquet inventé par IA | Projets de code | Non (paquet dormant) | Oui si installé |
| Phantom squatting (domaines) | Nom de domaine halluciné | Utilisateurs web | Non (redirection) | Non directement |
| HalluSquatting (agents IA) | Nom de ressource + injection indirecte | Agents avec permissions | Oui (via terminal) | Oui (construction active) |
On voit clairement que l’HalluSquatting est la première attaque capable de transformer un assistant IA en vecteur d’infection pour construire un botnet, sans nécessiter de compétences en exploitation de vulnérabilités.
Les précédents qui ont ouvert la voie
En janvier 2026, Charlie Eriksen d’Aikido Security a découvert le paquet npm react-codeshift, un nom inventé par l’IA, déjà présent dans 237 projets de code. Il l’a enregistré avant qu’un attaquant ne le fasse. En juin 2026, Trail of Bits a démontré qu’il était possible de faire passer des « compétences » malveillantes à travers les scanners des marketplaces en moins d’une heure. L’HalluSquatting pousse le concept jusqu’à l’exécution de code, ce qui en fait une menace de premier ordre.
Comment se protéger de l’HalluSquatting ?
La défense repose sur une combinaison de mesures techniques, organisationnelles et comportementales. Les chercheurs et les experts en cybersécurité recommandent les actions suivantes :
Pour les développeurs
- Ne jamais utiliser le mode auto-exécution - Les modes
--skip-permissions(Claude Code) ouyolo(Gemini CLI) sont à bannir absolument. Exiger une confirmation avant chaque installation. - Vérifier le nom de la ressource - Avant qu’un agent ne télécharge un dépôt, faites une recherche manuelle sur GitHub ou npm pour confirmer que le nom existe réellement et correspond au projet attendu.
- Traiter tout nom généré par l’IA comme une hypothèse - Ne faites pas confiance à un nom que vous n’avez pas saisi vous-même.
Pour les équipes sécurité
- Mettre en place un proxy de validation - Interceptez les requêtes des assistants vers l’extérieur et vérifiez les signatures des paquets.
- Auditer les permissions des agents - Limitez les droits de l’assistant : interdisez-lui l’accès au terminal ou aux commandes
sudo,install,clonesans validation humaine. - Former les développeurs - Sensibilisez-les aux risques des hallucinations et à l’importance de vérifier les sources. Une campagne de phishing interne sur ce thème peut être très efficace.
Pour les éditeurs de plateformes
Les marketplaces (GitHub, npm, stores de plugins) doivent pré-enregistrer les noms que les IA sont susceptibles d’inventer, comme on le fait déjà pour le typosquatting. Ils peuvent aussi bloquer les comptes qui réutilisent des noms proches de dépôts populaires. Enfin, les outils doivent intégrer une couche de sécurité qui inspecte le contenu avant de l’exécuter, comme le font déjà Claude Code en mode auto ou Gemini CLI avec son check Conseca.
« Les attaques ne font que s’améliorer ; elles ne s’aggravent jamais. » - Les chercheurs de l’université de Tel Aviv.
Conclusion : l’importance de la vigilance face à l’HalluSquatting
L’HalluSquatting représente une évolution majeure dans le paysage des menaces cyber. En exploitant les hallucinations des IA, il transforme des outils de productivité en vecteurs d’infection. Aucune vulnérabilité zero-day n’est nécessaire : le maillon faible est la confiance aveugle accordée aux noms générés par les modèles. Pour les entreprises françaises, respecter les recommandations de l’ANSSI et de l’ISO 27001 en matière de gestion des accès et de contrôle des téléchargements devient une priorité. En pratique, activez les vérifications, formez vos équipes, et surtout, ne laissez jamais un assistant IA agir sans supervision. La cybersécurité de demain se jouera aussi dans la manière dont nous encadrons ces agents intelligents.