IA Gemini : des groupes étatiques créent des virus dynamiques

L’intégration de l’intelligence artificielle dans l’arsenal des cyberattaquants marque une rupture technologique majeure. Selon un rapport du Google Threat Intelligence Group (GTIG), les adversaires parrainés par des États ne se contentent plus d’utiliser l’IA pour corriger des erreurs de code ou traduire de simples courriels. Ils l’utilisent désormais pour automatiser l’intégralité du cycle d’une attaque, de la recherche d’informations initiales jusqu’au vol final des données. Cette évolution permet aux pirates d’agir beaucoup plus rapidement tout en augmentant la qualité visuelle et textuelle de leurs pièges pour tromper la vigilance des employés et des responsables de la sécurité.

Les groupes étatiques transforment l’IA en outil d’espionnage

Les acteurs soutenus par des gouvernements, notamment en Corée du Nord, ont transformé les modèles de langage en outils de renseignement d’une efficacité redoutable. Le groupe nord-coréen UNC2970 a été observé utilisant Gemini pour synthétiser des informations publiques sur des entreprises stratégiques du secteur de la défense. En se faisant passer pour des recruteurs sur les réseaux professionnels, ces pirates profilent des employés ciblés en analysant précisément leurs compétences techniques et leurs niveaux de salaire, comme l’explique l’étude publiée par SecurityAffairs. Cette phase de préparation permet de concevoir des offres d’emploi factices mais parfaitement crédibles pour inciter la victime à cliquer sur un lien piégé.

En Iran, des agents cyber exploitent également ces capacités pour mener des campagnes de manipulation personnalisée. Au lieu d’envoyer des messages génériques, ils créent des personnages numériques basés sur les biographies réelles de leurs cibles. Ces outils permettent de tenir des conversations suivies pour instaurer un climat de confiance avant de transmettre un virus. Parallèlement, des pirates basés en Chine ont simulé des scénarios complexes pour demander à l’IA d’automatiser l’analyse de failles de sécurité. Ils ont ainsi testé des techniques d’injection de code malveillant contre des cibles aux États-Unis, en utilisant l’IA pour vérifier si leurs attaques pouvaient contourner les protections logicielles classiques.

L’IA génère des virus invisibles et des sites de fraude

L’innovation la plus perfide réside dans l’apparition de virus « fileless », ou sans fichier, qui ne laissent aucune trace sur le disque dur de l’ordinateur. Le framework HonestCue, détecté fin 2025, illustre ce procédé. Au lieu de contenir un virus pré-installé qui pourrait être repéré par un scanner, il demande à l’IA de générer du code en langage C# au moment même de l’infection. Ce code est ensuite compilé et lancé directement dans la mémoire vive de la machine. Cette approche dynamique, détaillée par le média spécialisé BleepingComputer, signifie que le virus n’existe jamais physiquement sur l’ordinateur, rendant sa détection par les outils de sécurité traditionnels presque impossible.

Le développement de kits de fraude, ou phishing, profite aussi de cette automatisation. Le kit CoinBait, qui imite un site d’échange de devises numériques, a été construit à l’aide d’outils de création automatisés. Sa complexité technique se révèle dans son code source par des messages de surveillance préfixés par « Analytics: ». Ces lignes permettent aux pirates de suivre précisément le parcours des victimes sur le faux site. De plus, des campagnes baptisées ClickFix utilisent l’IA pour créer des publicités trompeuses sur les moteurs de recherche. Elles répondent aux problèmes techniques que l’utilisateur essaie de résoudre et l’incitent à copier-coller des commandes qui installent secrètement des logiciels espions capables de voler des mots de passe.

Le vol de technologie menace l’avenir des modèles d’IA

Au-delà des attaques contre les particuliers et les entreprises, les pirates s’en prennent à l’intelligence artificielle elle-même par le biais de la « distillation ». Cette méthode consiste à envoyer une quantité massive de questions (jusqu’à 100 000 dans certains cas observés) pour cartographier la manière dont l’IA réfléchit et prend des décisions. L’objectif est de copier le fonctionnement interne du modèle de Google pour créer un clone performant sans avoir à investir des milliards de dollars dans son apprentissage. Si ce vol de propriété intellectuelle ne touche pas directement les données des internautes, il permet aux attaquants de posséder leurs propres outils d’IA sans aucune restriction de sécurité, accélérant ainsi la création de nouvelles menaces.

Cette démocratisation des outils malveillants alimente un marché noir souterrain. Sur certains forums, des services prétendent offrir des IA privées conçues pour le piratage, mais il s’agit souvent de simples interfaces utilisant des clés d’accès volées à des entreprises légitimes. Google a réagi en désactivant les comptes liés à ces abus et en renforçant les filtres de sécurité internes de Gemini. Les experts préviennent toutefois que l’intégration de l’IA dans les outils de piratage va se généraliser. Les futurs virus pourraient être capables de modifier leur propre comportement en temps réel pour s’adapter aux défenses qu’ils rencontrent, rendant la protection des réseaux informatiques toujours plus complexe.