Navigation
Les derniers articles
Suivez en direct

Cybersécurité : l’IA automatise le cycle des cyberattaques

Illustration conceptuelle montrant un panneau de signalisation 'Cyber Attacks Ahead' à côté d'un microprocesseur surmonté du sigle AI en hologramme bleu, symbolisant les cybermenaces liées à l'intelligence artificielle.
Un rapport de Google révèle que les groupes étatiques et criminels intègrent l’IA à chaque étape de leurs opérations pour gagner en vitesse et en précision.

TL;DR : L’essentiel

  • Les groupes étatiques de Corée du Nord et d’Iran utilisent des modèles de langage pour automatiser la reconnaissance ciblée et synthétiser des informations sur les salaires dans le secteur de la défense.
  • Une nouvelle technique nommée distillation permet à des entités privées de cloner les capacités de raisonnement des modèles d’IA en soumettant plus de 100 000 requêtes systématiques aux interfaces de programmation.
  • Le maliciel HONESTCUE externalise sa propre exécution en appelant une interface de programmation pour générer dynamiquement un code secondaire malveillant, ne laissant ainsi aucune trace physique sur le disque de la victime.
  • Des campagnes de manipulation utilisent des liens de partage de discussions d’IA pour diffuser des commandes malveillantes, exploitant la confiance des utilisateurs envers les plateformes de messagerie et d’assistance automatisée.

L’intégration de l’intelligence artificielle générative dans les arsenaux offensifs marque une étape de maturation technique plutôt qu’une révolution de paradigme. Selon le média CyberScoop, les outils d’IA sont désormais exploités à presque toutes les phases du cycle d’attaque, de la reconnaissance initiale à l’exfiltration de données.

Les analystes du renseignement observent que, si aucun groupe n’a encore automatisé l’intégralité d’une intrusion, l’IA sert désormais de multiplicateur de force. Elle permet d’augmenter la productivité des opérateurs tout en abaissant la barrière à l’entrée pour les attaquants moins expérimentés, facilitant des tâches autrefois chronophages comme la rédaction de code ou le profilage de cibles.

L’IA transforme le profilage et l’ingénierie sociale

Les acteurs étatiques ont radicalement transformé leurs méthodes de profilage des victimes. Un groupe nord-coréen a notamment utilisé l’IA pour synthétiser des données en source ouverte concernant les échelles salariales et les rôles techniques précis au sein d’entreprises de défense. Cette approche permet de créer des appâts de recrutement extrêmement crédibles pour piéger des experts du secteur.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Parallèlement, le kit de hameçonnage COINBAIT illustre cette industrialisation en utilisant des frameworks de développement modernes. Les chercheurs ont identifié l’usage de l’IA par la présence de messages de journalisation très spécifiques dans le code source, systématiquement préfixés par la mention « ? Analytics: ». On y retrouve des lignes telles que « ? Analytics: Initializing… » ou « ? Analytics: Session created in database: », typiques d’un code généré par des plateformes de création automatisée.

Ces traces révèlent un processus de création assisté où l’attaquant demande à l’outil de générer une interface utilisateur complexe et une gestion de routage sophistiquée. L’objectif est de tromper les utilisateurs de plateformes de cryptomonnaies avec une interface « Single Page Application » fluide, dont la complexité suggère l’utilisation de prompts de haut niveau pour imiter des sites officiels.

L’Iran, via des groupes comme APT42, exploite ces capacités pour établir des scénarios de mise en confiance. En fournissant la biographie d’une cible à un modèle de langage, les opérateurs créent des personas sur mesure. Comme le détaille le Google Cloud Blog, cette approche permet de maintenir des conversations fluides sur plusieurs jours, effaçant les erreurs de syntaxe qui trahissaient autrefois les attaquants.

Les maliciels hybrides délèguent leur logique aux algorithmes

L’innovation technique la plus notable concerne l’apparition de maliciels capables d’externaliser leur logique interne via des interfaces de programmation. Le logiciel malveillant HONESTCUE fonctionne comme un chargeur qui interroge directement une API d’IA pour recevoir ses instructions. Il demande spécifiquement au modèle de rédiger un programme complet et autonome en langage C# incluant une classe nommée « AITask ».

Techniquement, le malware reçoit un code source conçu pour télécharger et exécuter un second composant malveillant. Ce code est compilé à la volée directement dans la mémoire de l’ordinateur cible. Cette méthode garantit qu’aucun fichier n’est écrit sur le disque dur, ce qui rend l’attaque invisible pour les outils de détection classiques basés sur l’analyse de fichiers.

Dans le même temps, les experts signalent une augmentation des attaques de « distillation » visant à voler la propriété intellectuelle des modèles. Une campagne identifiée a consisté à soumettre plus de 100 000 requêtes pour forcer une IA à révéler son processus de réflexion interne. Une instruction technique exigeait que « le langage utilisé dans le contenu de réflexion soit strictement cohérent avec la langue principale de l’utilisateur ».

Cette manœuvre de clonage de capacités de raisonnement montre que les attaquants cherchent à répliquer des outils de pointe dans des environnements non sécurisés. En exploitant des vulnérabilités dans les outils de gestion d’API en source ouverte, ils parviennent à s’emparer de clés d’accès pour alimenter leurs propres services malveillants, comme le toolkit Xanthorox découvert récemment sur des forums spécialisés.

Vers une autonomie accrue des agents malveillants

La vitesse d’exécution des tâches cybernétiques sans intervention humaine connaît une croissance importante. Selon les rapports techniques récents, le temps pendant lequel un système peut opérer de manière autonome est passé de moins de 10 minutes début 2023 à plus d’une heure au milieu de l’année 2025. Cette tendance vers l’IA « agentique » permet désormais d’automatiser l’analyse de vulnérabilités complexes.

Certains groupes basés en Chine expérimentent déjà des capacités d’audit de code automatisées pour identifier des failles de type injection SQL ou des dépassements de mémoire. Bien que les modèles en source ouverte conservent un retard de 4 à 8 mois sur les modèles propriétaires, l’écart se réduit. Cela offre aux cybercriminels des outils puissants pour tester des techniques de contournement de pare-feu à une échelle industrielle.

Le paysage actuel montre que l’IA optimise radicalement les vecteurs de menace existants. Les acteurs malveillants détournent désormais les fonctions de partage public des plateformes de discussion, comme les liens de chat partagés, pour héberger des instructions de réparation frauduleuses. Ces techniques, dites « ClickFix« , incitent les utilisateurs à copier-coller des commandes malveillantes directement dans leur terminal système.

ClickFix : le piège qui fait exécuter l’attaque par la victime

ClickFix : le piège qui fait exécuter l’attaque par la victime

dcod.ch

Une technique d’ingénierie sociale se généralise : ClickFix transforme une simple action de copie-coller en exécution involontaire du malware par la victime. Lire la suite

Face à cette menace, les stratégies de défense évoluent également vers l’automatisation. Des agents spécialisés sont désormais capables de rechercher activement des vulnérabilités inconnues et de proposer des correctifs en temps réel. Cette course à l’armement numérique transforme la cybersécurité en un duel de vitesse et de puissance de calcul entre modèles algorithmiques adverses.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.