Quatre catégories d'outils IA exploités par les cybercriminels

Les quatre catégories d'outils IA utilisés par les cybercriminels

Cynthia Kaiser a passé vingt ans à la division cybersécurité du FBI. Elle dirige désormais le Grand Seminar Research Center chez Halcyon, une startup spécialisée dans la défense contre les rançongiciels. Lors d'une rencontre à Infosecurity Europe à Londres, elle a détaillé comment l'IA transforme les attaques criminelles.

Une évolution rapide des menaces

La cybercriminalité a radicalement changé depuis dix ans. Les attaques visant à nuire — DDoS, défacement de sites — ont cédé la place aux rançongiciels, qui ont augmenté de 20 % depuis 2023. Ces opérations sont devenues beaucoup plus rapides : parfois moins d'une heure s'écoule entre l'accès initial et l'attaque complète.

La frontière entre criminels et États s'est brouillée. Certains gouvernements autorisent leurs fonctionnaires à agir comme cybercriminels pendant leur temps libre. D'autres recrutent des organisations criminelles pour mener des opérations en leur nom. La Russie et l'Iran utilisent désormais le cyberespace comme un véritable outil de guerre.

Les quatre catégories d'outils IA

1. Les LLMs non régulés

WormGPT en est l'exemple le plus connu. Ces modèles se présentent comme des LLMs sans restrictions. Certains sont des wrappers autour de modèles existants comme DeepSeek, Grok ou Mistral. D'autres sont des arnaques pures. On observe aussi du jailbreaking : des identifiants ChatGPT circulent sur le Darknet, accompagnés de prompts pour contourner les restrictions.

2. L'usurpation d'identité augmentée par l'IA

Cette catégorie se développe rapidement : hameçonnage ciblé, clonage vocal pour faux appels, vidéos deepfake. Les clonages vocaux sont devenus si convaincants qu'ils font l'objet d'échanges et de transactions sur les forums criminels. Les vidéos ne sont pas encore au même niveau, mais les progrès sont impressionnants. Ces techniques contournent les processus KYC (vérification d'identité) des institutions financières.

3. Les attaques amplifiées par l'IA

Des services de centres d'appel entièrement gérés par IA peuvent passer 120 appels simultanés dans 25 langues différentes. Ils simulent même les bruits de clavier d'un vrai centre d'appel. Ces services se louent sur le Darknet pour mener de l'ingénierie sociale en se faisant passer pour une entreprise légitime.

4. Les logiciels malveillants générés par l'IA

Des malwares créés par l'IA sont désormais disponibles à la vente sur les marchés criminels. Leur création et leur déploiement s'accélèrent.

Une professionnalisation inquiétante

Ce qui frappe le plus, c'est la vitesse de croissance et de professionnalisation de cet écosystème. Nombre de ces services ressemblent désormais à des entreprises SaaS : offre gratuite pour attirer les clients, modèle payant supérieur, développement et test sur des forums criminels, puis migration vers Telegram pour atteindre des acteurs moins sophistiqués techniquement.

Les cybercriminels amateurs, qui n'auraient jamais réussi une attaque il y a quelques années, peuvent désormais utiliser l'IA pour augmenter leur taux de réussite. Passer de 0 % à 5 % de réussite représente une avancée majeure pour ces acteurs.

Pourquoi pas d'attaques entièrement autonomes ?

Malgré les craintes autour des attaques automatisées de bout en bout, Kaiser n'en a pas observé à grande échelle. Les cybercriminels motivés par le profit préfèrent s'en tenir à des méthodes qui fonctionnent et offrent un taux de réussite élevé. Ils attendent que les opérations entièrement agentiques soient davantage testées et approuvées avant de les adopter.

Les États-nations comme la Chine disposent sans doute des ressources pour développer des attaques entièrement autonomes, mais leur impact opérationnel reste pour l'instant limité.