Les modèles d’IA générative inventent parfois des adresses web crédibles, mais inexistantes. Des attaquants peuvent ensuite enregistrer ces domaines et les utiliser pour du phishing, de l’usurpation ou de la diffusion de malware. Unit 42 nomme cette technique le phantom squatting et estime qu’elle ouvre une nouvelle surface d’attaque pour les utilisateurs, les développeurs et les agents IA.
Des domaines inventés, puis enregistrés
Le phantom squatting repose sur un mécanisme plutôt simple. Un modèle d’IA répond à une demande en générant une URL qui semble plausible pour une marque, un service ou un portail métier, mais qui n’existe pas. Si ce domaine n’a pas encore été enregistré, un attaquant peut le réserver avant l’organisation concernée et y placer une page frauduleuse.
Unit 42, l’équipe de recherche de Palo Alto Networks, indique avoir observé des cas réels d’exploitation. Les chercheurs expliquent avoir pu identifier certains domaines hallucinés entre 18 et 51 jours avant leur enregistrement par des attaquants. L’un des cas documentés concerne un kit de phishing nommé Montana Empire, déployé sur un domaine que leur système avait classé comme hallucination à haut risque 23 jours plus tôt. Le risque ne vient donc pas seulement de l’erreur du modèle. Il vient du fait que cette erreur peut être prévisible, répétée, puis transformée en infrastructure d’attaque.
Une variante du typosquatting adaptée aux usages IA
Le phantom squatting rappelle le typosquatting, qui consiste à enregistrer des noms de domaine proches de sites légitimes pour capter les erreurs de frappe. La différence demeure cependant cruciale puisqu’ici, l’utilisateur ne se trompe pas forcément. Il suit une adresse donnée par un assistant IA, un agent de recherche ou un outil de développement auquel il fait déjà confiance.
Unit 42 rapproche aussi cette technique du slopsquatting, observé dans la chaîne logicielle, lorsque des modèles de code recommandent des noms de paquets inexistants. Le principe est le même : l’IA fabrique un élément crédible, puis un attaquant occupe l’espace avant que quelqu’un ne vérifie.
Cette logique devient plus sensible avec les agents IA. Un assistant peut ouvrir une page, récupérer une ressource, recommander un point d’API ou intégrer une URL dans une documentation générée automatiquement. Si l’adresse pointe vers un domaine contrôlé par un attaquant, la compromission peut se faire sans e-mail de phishing ni publicité malveillante.
Des chiffres qui montrent une surface exploitable
Pour mesurer le risque, Unit 42 dit avoir analysé 913 marques mondiales dans plusieurs secteurs, dont la technologie, la finance, la santé, l’e-commerce, les services publics, les jeux d’argent et la logistique. Les chercheurs ont exécuté 685 339 requêtes auprès de deux familles de modèles, ce qui a produit 2,1 millions d’URL uniques.
Parmi elles, 13 229 étaient déjà classées comme malveillantes par des systèmes de renseignement sur la menace. Unit 42 indique aussi avoir identifié environ 250 000 domaines hallucinés non enregistrés, donc potentiellement exploitables par des attaquants.
Le point le plus délicat reste défensif. Un domaine fraîchement enregistré n’a souvent aucun historique malveillant. Il peut donc passer sous les radars des outils fondés sur la réputation, au moins dans les premières heures ou les premiers jours. Pour les attaquants, cette absence de signal devient un avantage.
Vérifier avant de faire confiance
Unit 42 recommande aux organisations de cartographier les domaines que les modèles sont susceptibles d’halluciner autour de leurs marques, puis de surveiller les enregistrements suspects. Cette approche peut permettre d’agir avant la mise en ligne d’un site frauduleux, ou au moins de réduire la fenêtre d’exploitation.
Pour les entreprises qui intègrent des assistants IA dans leurs workflows, le sujet est plus immédiat. Une URL proposée par un modèle ne doit pas être traitée comme une source fiable par défaut. Les agents capables d’ouvrir des liens, de télécharger des fichiers ou d’appeler des services externes doivent être encadrés par des contrôles supplémentaires.
Le phantom squatting montre surtout que la confiance accordée aux réponses générées devient elle-même une cible. L’IA ne crée pas seulement du contenu faux. Elle peut aussi produire des points d’entrée suffisamment crédibles pour être transformés en pièges.






