2 mises en cause, 1 plainte déposée, IA non supervisée accusée d’espionnage chinois, ce que Koi Security doit affronter

2 mises en cause, 1 plainte déposée, IA non supervisée accusée d’espionnage chinois, ce que Koi Security doit affronter

MeetingTV poursuit Palo Alto Networks et sa filiale Koi Security après la publication d’un rapport de cybersécurité attribuant à tort la startup à une campagne d’espionnage chinoise. La plainte vise une analyse présentée comme factuelle, issue d’un outil automatisé, sans vérification humaine suffisante selon les documents judiciaires. L’affaire met en cause des liens techniques jugés non étayés et des conséquences immédiates, dont le blocage de domaines et une atteinte à la réputation.

Au cur du dossier, une question simple, qui devient explosive dans le secteur, jusqu’où une entreprise peut-elle s’appuyer sur l’IA pour accuser publiquement une autre entité d’activités malveillantes.

MeetingTV attaque Palo Alto Networks et Koi Security en justice

La procédure est engagée par MeetingTV, une jeune entreprise positionnée sur des services liés à la visioconférence, contre Palo Alto Networks et sa filiale Koi Security. Selon les documents cités dans la plainte, le litige découle d’un billet de blog de cybersécurité attribuant à MeetingTV un rôle dans une opération assimilée à une campagne d’espionnage chinois. L’entreprise conteste frontalement ces allégations et décrit la publication comme le résultat d’une démarche imprudente, reposant sur une automatisation insuffisamment contrôlée.

Le point de départ est un rapport de recherche qui relie un service de MeetingTV, présenté comme Zoomcorder, à une infrastructure ou à des activités malveillantes. Dans le vocabulaire du secteur, ce type de rapport peut entraîner des réactions en chaîne, filtrages, listes de blocage, détections antivirus, restrictions d’hébergement. MeetingTV affirme que ce mécanisme s’est enclenché rapidement après la publication, sans que l’entreprise ait été sollicitée pour apporter des éléments de contexte ou contester des identifications techniques.

La plainte attribue la genèse des accusations à une dépendance excessive à un outil interne de Koi. Le fondateur, Michael Robertson, soutient que le contenu semblait provenir d’une production automatisée, présentée avec un niveau de certitude incompatible avec l’absence de vérifications. La formulation reprise dans les documents judiciaires insiste sur l’idée d’une utilisation non supervisée, ce qui, dans un dossier de diffamation technico-scientifique, vise à démontrer un défaut de prudence élémentaire dans la publication.

Le contexte industriel pèse aussi dans la lecture du dossier. Palo Alto Networks a acquis Koi Security en avril, ce qui expose le groupe à un contentieux portant sur la méthode de recherche et la gouvernance éditoriale d’une filiale. Le groupe a indiqué avoir connaissance de la plainte tout en défendant le principe de travaux de recherche destinés à identifier des menaces. Sur le plan judiciaire, ce type d’argumentation renvoie à l’intérêt général de la recherche en sécurité, mais la question centrale devient la solidité des preuves et la manière dont l’incertitude est communiquée au public.

Le rapport incriminé s’appuie sur la plateforme Wings, selon la plainte

Dans sa plainte, MeetingTV affirme que Koi Security a utilisé sa plateforme analytique propriétaire, nommée Wings, pour établir des correspondances entre des éléments techniques et une entité malveillante. Le document évoque un groupe baptisé DarkSpectre, présenté comme un acteur de cybercriminalité, auquel MeetingTV aurait été reliée. La startup conteste l’existence de preuves directes et décrit des connexions générées sans fondations vérifiables, puis exposées comme des éléments probants.

La mécanique alléguée est classique dans certains flux d’analyse automatisée, corrélation d’indicateurs, rapprochements de domaines, similarités d’artefacts, cooccurrences dans des journaux ou des bases de réputation. Le problème, selon MeetingTV, est le saut logique entre corrélation et attribution. Dans la pratique, attribuer une campagne à un acteur et relier un service à cette campagne exige des éléments techniques reproductibles, échantillons, hachages, captures, chaînes de redirection, preuves d’hébergement, ou traces réseau permettant de démontrer un contrôle effectif.

La plainte insiste sur un point précis, la présentation d’éléments supposés démontrer une implication criminelle, sans documentation suffisante. Dans un billet de recherche, la forme compte autant que le fond, un rapport peut mentionner des hypothèses, mais il doit expliciter le niveau de confiance, les limites, les alternatives plausibles. MeetingTV soutient que ces précautions n’ont pas été respectées, et que l’outil automatisé aurait produit des attributions erronées ensuite reprises comme des faits.

Ce type de différend pose aussi la question de la chaîne de publication dans les équipes de threat intelligence. Une recherche peut être techniquement solide, mais fragilisée par une rédaction trop affirmative, ou par l’absence de relecture croisée. À l’inverse, une recherche automatisée peut générer des pistes utiles, mais elle doit être traitée comme un point de départ. Dans la plainte, le cur de l’accusation vise précisément ce basculement, un outil d’assistance présenté implicitement comme un arbitre, avec un contrôle humain jugé insuffisant.

Le débat dépasse donc une simple erreur factuelle. Il touche à la responsabilité éditoriale d’une entreprise de cybersécurité lorsqu’elle publie sous sa marque des accusations susceptibles de déclencher des sanctions de marché, coupures d’accès, pertes de clients, signalements auprès de partenaires. MeetingTV cherche à démontrer que la méthode n’était pas seulement imparfaite, mais qu’elle a franchi un seuil de négligence en matière de vérification.

Une extension Twitter X Video Downloader contestée devient un point clé

Un élément précis cristallise la dispute, le rapport aurait relié le service Zoomcorder de MeetingTV à une campagne impliquant une extension de navigateur nommée Twitter X Video Downloader. Selon la plainte, cette extension n’existait pas, et Koi n’aurait pas fourni de preuve permettant d’établir une connexion technique entre cet objet et l’infrastructure attribuée à MeetingTV. MeetingTV affirme que cette pièce manquante constitue le socle du raisonnement ayant conduit à l’accusation publique.

Dans les enquêtes de sécurité, une extension de navigateur peut servir de vecteur, collecte de données, injection de scripts, redirections publicitaires, ou exfiltration. Mais l’existence réelle de l’objet, sa distribution, ses identifiants, son code, ses permissions, ses liens de téléchargement, sont des éléments vérifiables. Si l’extension n’existe pas, ou si elle est mal identifiée, toute la chaîne d’inférences devient vulnérable. MeetingTV s’appuie sur cette fragilité pour contester la méthodologie et suggérer une hallucination ou une fabrication involontaire par un système automatisé.

La plainte reproche aussi à Koi de ne pas avoir contacté MeetingTV avant publication. Dans les pratiques de disclosure, la prise de contact n’est pas systématique, mais elle est fréquente lorsque le rapport cite nommément une entreprise légitime et lui attribue une implication dans une campagne criminelle. Une demande de commentaire, une vérification d’ownership de domaines, ou une clarification sur l’usage d’un service peuvent éviter des confusions, par exemple des domaines détournés, des hébergements mutualisés, ou des réutilisations d’infrastructures par des tiers.

Après la mise en ligne du rapport, MeetingTV indique que plusieurs acteurs du secteur, dont des entreprises de sécurité et des fournisseurs de services, ont bloqué des domaines associés à la startup, les classant comme infrastructure malveillante. Ce point est central, car il matérialise le préjudice allégué, perte d’accès, clients empêchés d’utiliser le service, partenaires inquiets, support saturé, et soupçon durable. Dans un marché B2B, une alerte publique peut suffire à interrompre des négociations ou à déclencher des audits défavorables.

Koi Security aurait ensuite retiré des références à Zoomcorder du contenu initial. MeetingTV soutient que la correction ne suffit pas à effacer l’impact, car les copies, citations, caches, partages et listes de blocage peuvent persister. Dans l’écosystème cyber, une donnée erronée peut se propager via des flux de threat intel, puis rester active longtemps, même après rectification, ce qui renforce l’enjeu de la vérification avant publication.

Les rapports de cybersécurité dopés à l’IA sous pression de vérification

L’affaire intervient dans un contexte où les équipes de recherche traitent des volumes massifs, journaux, télémétrie, échantillons, domaines, URL, extensions, exécutables, et s’appuient sur l’automatisation pour trier, regrouper et prioriser. Les outils d’IA peuvent accélérer la rédaction, proposer des hypothèses, relier des indicateurs, ou suggérer des narratifs d’attaque. Mais leur faiblesse est connue, ils peuvent produire des informations incorrectes et, dans de nombreux cas, avertissent eux-mêmes que leurs sorties ne constituent pas des faits vérifiés.

Le litige met donc en lumière une tension structurelle, publier vite pour protéger, ou publier prudemment pour éviter les erreurs. Les éditeurs de rapports sont attendus sur la rapidité, car une campagne active peut toucher des victimes en quelques heures. Mais une accusation nominative contre une entreprise légitime exige un niveau de preuve supérieur. Les acteurs du secteur distinguent souvent les pistes internes des attributions publiques. MeetingTV affirme que cette frontière a été franchie sans garde-fou.

La question du contrôle humain revient comme un standard implicite. Une chaîne robuste inclut généralement une validation par plusieurs analystes, la conservation des artefacts, la possibilité de reproduire les résultats, et une rédaction qui sépare les faits observés des interprétations. Dans la plainte, la formule sur la reliance non supervisée vise à établir qu’un outil a servi de substitut à l’analyse. Si le tribunal considère qu’une entreprise a publié des accusations sans base vérifiable, le dossier pourrait devenir une référence pour d’autres litiges liés à des productions automatisées.

Du côté des entreprises de cybersécurité, la défense repose souvent sur la bonne foi, la complexité des menaces, et la nécessité d’alerter. Palo Alto Networks a indiqué que le processus de recherche de Koi reflète des efforts d’identification de menaces et que le différend suivra la voie judiciaire. Cette posture laisse ouverte la bataille sur le dossier technique, quelles preuves ont été collectées, comment elles ont été interprétées, et comment les incertitudes ont été présentées.

Pour l’écosystème, l’enjeu dépasse MeetingTV et Koi. Un précédent défavorable pourrait inciter à renforcer les mentions de prudence, les niveaux de confiance, la transparence sur les sources, ou l’usage de relectures indépendantes avant publication. À l’inverse, une décision favorable aux éditeurs de rapports pourrait conforter une pratique où l’automatisation produit des narratifs rapidement diffusés, avec des corrections ultérieures. Dans les deux cas, la pression sur la qualité de l’attribution, surtout lorsqu’elle implique des accusations d’espionnage et de cybercrime, ne devrait pas diminuer.

Tags