AIO APEX
Security

Google a poursuivi un réseau de cybercriminels chinois pour avoir utilisé Gemini afin de rédiger ses pages de phishing.

The Next Web
Partager:
Google a poursuivi un réseau de cybercriminels chinois pour avoir utilisé Gemini afin de rédiger ses pages de phishing.

Le 12 juin, Google a déposé une plainte historique devant un tribunal fédéral de New York contre un réseau de cybercriminalité basé en Chine, qu'il identifie sous le nom d'Outsider Enterprise. La plainte allègue que ce groupe exploitait une plateforme sophistiquée de phishing en tant que service (PhaaS) utilisée pour usurper l'identité de Google, YouTube, du service postal américain, des systèmes de télépéage E-ZPass, d'institutions financières et des DMV (services des véhicules motorisés) de certains États américains. Les membres du réseau auraient systématiquement utilisé le propre modèle d'IA Gemini de Google pour rédiger le code HTML des pages frauduleuses. C'est la première fois que Google engage une action en justice contre des acteurs malveillants spécifiquement pour abus de sa plateforme d'IA.

Le FBI estime que le réseau Outsider Enterprise a dérobé 3,87 millions de numéros de cartes de crédit et causé environ 1,9 milliard de dollars de pertes depuis son apparition en juillet 2023. Sur une seule période de deux semaines en mai 2026, le groupe a envoyé 2,5 millions de SMS de phishing aux utilisateurs d'Android aux États-Unis ; ces utilisateurs ont déposé 55 000 signalements de spam durant cette période. Au total, la plainte de Google identifie plus de 9 000 sites web frauduleux et environ 1 million d'URL frauduleuses liées au réseau depuis son existence.

Comment le groupe a utilisé Gemini

Selon la plainte de Google et les communications internes qu'elle a examinées, les membres d'Outsider Enterprise ont développé une pratique consistant à soumettre à Gemini des requêtes formulées comme des demandes anodines — lui demandant de créer des pages de « remboursement de cadeaux », des portails de fidélité et des formulaires de service client — puis à intégrer directement le code HTML généré dans la suite logicielle d'Outsider. La plateforme convertissait ces pages en une infrastructure de fraude opérationnelle pouvant être déployée en quelques heures. Les canaux Telegram utilisés par le groupe comprenaient des instructions explicites pour utiliser Gemini afin de générer du code de pages de phishing, les membres partageant des requêtes fonctionnelles et des sessions de dépannage.

Il s'agit d'un cas documenté de ce que les chercheurs en sécurité appellent un mésusage « adjacent au jailbreak » : non pas en contournant les filtres de sécurité du modèle avec des requêtes adverses, mais en présentant des demandes malveillantes comme inoffensives et en externalisant le travail de rédaction à une IA incapable d'évaluer l'usage prévu. Gemini, à qui l'on demande de créer une page de notification de livraison USPS convaincante, crée une page de notification de livraison USPS convaincante. L'application criminelle est à un pas de la sortie du modèle.

Google indique avoir désactivé les comptes Gemini et l'infrastructure confirmés comme étant liés au stratagème. L'entreprise collabore également avec le FBI et les trois plus grands opérateurs mobiles américains — AT&T, T-Mobile et Verizon — pour bloquer les messages au niveau du réseau et démanteler l'infrastructure de soutien.

La stratégie juridique : utiliser les tribunaux civils pour démanteler les réseaux criminels

La décision de Google de déposer une plainte civile plutôt que de se fier uniquement aux signalements aux forces de l'ordre est délibérée. L'entreprise a déjà utilisé la même stratégie : en 2023, elle a poursuivi les opérateurs d'un botnet qui utilisait l'infrastructure Google pour du credential stuffing ; en 2021, elle a poursuivi deux ressortissants russes derrière un botnet ciblant Google Play. Les tribunaux civils donnent à Google un accès direct à des mesures injonctives — des ordonnances obligeant les hébergeurs, les registres de noms de domaine et les processeurs de paiement à coopérer au démantèlement de l'infrastructure — sans attendre un calendrier d'enquête pénale qui peut s'étendre sur des années.

La plainte nomme cinq défendeurs John Doe, car les identités des opérateurs individuels d'Outsider Enterprise n'ont pas été établies publiquement. Le réseau opère via des canaux Telegram, avec des opérateurs affiliés — des criminels qui achètent l'accès au kit PhaaS — répartis dans plusieurs juridictions. La plainte est déposée devant le tribunal de district sud de New York, qui a compétence sur une partie du préjudice financier causé par l'opération.

Parallèlement, Google soutient sept projets de loi bipartisans au Congrès liés à la fraude assistée par l'IA. Le plus important est le Stop SCAMS Act, porté par les représentants Brian Fitzpatrick (R-PA) et Josh Harder (D-CA), qui créerait une stratégie nationale coordonnée unissant les forces de l'ordre, les agences gouvernementales et le secteur privé pour lutter contre les réseaux de cybercriminalité transnationaux. Cette législation obligerait également les plateformes à partager des renseignements sur les menaces liées à la fraude assistée par l'IA d'une manière qui n'est pas actuellement requise par la loi.

L'ampleur du phishing assisté par l'IA

Outsider Enterprise est exceptionnellement bien documenté en raison du lien avec Gemini et de l'implication directe de Google en tant que cible et plaignant. Cependant, il n'est pas inhabituel en tant que catégorie de menace. Les chercheurs en sécurité ont suivi une prolifération d'infrastructures de phishing assisté par l'IA au cours des 18 derniers mois. Le schéma est cohérent : les outils d'IA — à la fois les modèles commerciaux comme Gemini et Claude, et les alternatives open source sans conditions d'utilisation — abaissent le niveau de compétence requis pour créer un contenu de phishing convaincant et accélèrent le cycle de déploiement de nouveaux modèles lorsqu'une marque cible modifie son design visuel.

La plainte contre Outsider Enterprise indique que le réseau maintenait une bibliothèque de plus de 290 modèles préconstruits couvrant des marques reconnaissables. Maintenir cette bibliothèque de modèles nécessitait auparavant une personne capable d'écrire du HTML et du CSS, de comprendre les directives de marque et de mettre à jour les modèles lorsque les marques redessinaient leur présence en ligne. Avec Gemini, ces tâches deviennent des tâches de requête. La barrière s'abaisse encore, et l'opération devient plus résiliente — car la capacité de génération de modèles est répartie entre tous les membres disposant d'un compte Gemini plutôt que concentrée sur quelques développeurs qualifiés.

Pour les utilisateurs, l'implication pratique est inchangée : les messages de smishing — phishing envoyé par SMS — contenant des liens vers de fausses notifications de livraison USPS, des avis de péage impayé ou des alertes de sécurité bancaire doivent être traités avec une suspicion immédiate, quelle que soit leur apparence soignée. La qualité visuelle d'une page de phishing n'est plus un indicateur fiable de sa légitimité ; les pages générées par l'IA peuvent être impossibles à distinguer des pages réelles.

Ce que la plainte peut et ne peut pas accomplir

Les actions civiles de ce type ont un bilan mitigé. La plainte de Google de 2023 contre un botnet a abouti au démantèlement réussi de l'infrastructure, mais les opérateurs individuels n'ont jamais été identifiés ni poursuivis. Les acteurs criminels opérant depuis la Chine présentent des défis supplémentaires : les tribunaux américains peuvent émettre des ordonnances, mais leur exécution contre des individus dans une juridiction sans traité d'extradition avec les États-Unis dépend de la possibilité que ces individus voyagent un jour dans des pays qui coopèrent avec le système juridique américain.

Ce que la plainte accomplit de manière fiable : elle oblige les fournisseurs d'infrastructure basés aux États-Unis — sociétés d'hébergement, CDN, processeurs de paiement — à coopérer au démantèlement de l'infrastructure spécifique identifiée dans la plainte. Elle crée un précédent juridique qui peut être utilisé dans des affaires futures. Et elle envoie un signal public clair indiquant que Google est prêt à traiter l'abus d'IA comme un déclencheur de litige plutôt que comme une simple question de politique, ce qui peut avoir un effet dissuasif sur les acteurs malveillants sensibles aux coûts de sécurité opérationnelle.

La question à plus long terme est structurelle. Les plateformes PhaaS comme Outsider Enterprise existent parce que l'économie du phishing reste favorable : le coût d'exploitation d'une opération est faible, les retours potentiels sur les identifiants volés et les numéros de carte sont élevés, et le risque juridique — en particulier pour les opérateurs dans des juridictions non coopératives — est gérable. L'IA rend cette économie encore plus favorable en réduisant les exigences de compétence des opérateurs. Une plainte traite un cas particulier ; le modèle économique qu'elle exploite n'est pas modifié par une ordonnance judiciaire.

Source : Plainte de Google (SDNY), communiqué de presse du FBI, Help Net Security, The Next Web, Decrypt, Cybersecurity News, 12-13 juin 2026.

Googlegeminiphishinglawsuitcybercrimeai-abusephaassmishing

Originally reported by The Next Web. Read the original article for additional details.

View original source
Partager: