L’IA générative au service des pirates accélère l’industrialisation des cyberattaques

Phishing plus crédible, malwares qui s’adaptent, deepfakes en visioconférence, et des attaques qui se déploient à la chaîne. Depuis que l’IA générative est devenue un outil du quotidien, les pirates ont gagné un truc simple, mais décisif: la vitesse. Ils n’ont plus besoin d’une équipe de développeurs chevronnés pour écrire, tester, traduire, personnaliser. Tu veux un mail parfait, dans le ton, avec les bons détails sur l’entreprise? Quelques prompts et c’est parti.

Le truc, c’est que les défenseurs utilisent aussi l’IA. Elle peut réduire radicalement le temps entre intrusion et détection, au point de passer de semaines à des heures, parfois des minutes. Mais on n’est pas dans un film où la technologie « règle le problème ». C’est une course, et elle s’accélère. D’un côté, l’attaque devient scalable. De l’autre, la défense devient plus automatisée. Et au milieu, toi, tes collègues, ta boîte, tes données.

Le phishing dopé à l’IA, du mail bancal au scénario sur-mesure

Avant, tu repérais souvent l’arnaque à l’il nu: fautes, tournures bizarres, pièces jointes louches. Avec l’IA générative, les campagnes de phishing gagnent en qualité et en volume. Les pirates peuvent produire des messages propres, cohérents, et surtout adaptés à la cible. Ils moulinent des variantes, testent des accroches, changent de style selon le service visé, compta, RH, direction.

Le plus efficace, c’est l’attaque qui ressemble à du quotidien. Un faux message « urgent » qui reprend les habitudes internes, une relance qui imite le ton d’un manager, une demande de validation qui arrive au bon moment. Les modèles de langage savent écrire « comme » un humain, donc la barrière psychologique tombe. Et quand tu ajoutes un peu d’ingénierie sociale, tu n’as même plus besoin de forcer techniquement, tu fais cliquer.

J’ai vu passer des exemples où l’attaquant ne cherche même pas le lien piégé au départ. Il lance une conversation, pose deux ou trois questions, se fait passer pour un prestataire, puis glisse la demande d’accès. L’IA aide à tenir la discussion sans se contredire, sans fatigue, à n’importe quelle heure. Résultat, tu as un échange qui « sonne vrai », et la victime a l’impression d’aider, pas de se faire voler.

Nuance importante: l’IA ne rend pas tout magique. Un bon filtrage mail, des règles de validation, et une culture interne solide peuvent casser beaucoup de tentatives. Mais le niveau moyen des attaques monte, et ça change la donne: ce n’est plus « repérer la faute d’orthographe », c’est « vérifier le processus ». Et ça, c’est plus dur à faire quand tu es sous pression.

Deepfakes: 25 millions de dollars partis en fumée en visioconférence

Février 2024, à Hong Kong: un membre d’une équipe financière verse 25 millions de dollars après une visioconférence. Le directeur financier qu’il voit et entend n’est pas le bon, c’est une imitation très crédible, un deepfake. Là, on n’est plus sur le mail piégé, on est sur la mise en scène. Et c’est exactement le genre de fraude qui fait mal parce qu’elle vise le réflexe d’obéissance et l’urgence.

La vieille « fraude au président » existait déjà, bien sûr. Sauf que l’IA lui donne des muscles: voix, visage, synchronisation labiale, et un scénario qui tient la route. Tu crois « reconnaître » la personne, donc tu baisses la garde. Et si la réunion inclut plusieurs visages, même truqués, tu te dis que c’est validé par le collectif. Le cerveau adore les signaux de confirmation, les pirates aussi.

Les conséquences sont très concrètes: des procédures internes qui deviennent obsolètes si elles reposent sur « je l’ai vu en visio ». Dans les boîtes, on a pris l’habitude de valider vite, de faire confiance à la fluidité. Là, il faut remettre des garde-fous, des doubles validations, des canaux alternatifs. Un virement exceptionnel? Tu rappelles sur un numéro interne connu. Tu vérifies hors de la visio. Tu prends deux minutes, tu économises des millions.

Et oui, ça va créer de la friction. Les équipes finance vont râler, les dirigeants vont trouver ça « lourd ». Mais c’est le prix d’un monde où l’image et la voix ne prouvent plus grand-chose. Le deepfake n’est pas juste un gadget, c’est un outil d’usurpation d’identité à l’échelle. Et plus il sera banal, plus la confiance dans les échanges à distance va se fissurer.

Malwares et ransomwares: l’IA aide à écrire, contourner et choisir le bon moment

Sur le terrain technique, l’IA sert aussi à fabriquer du malware plus vite. Pas forcément « plus génial » à chaque fois, mais plus adaptable. Les scripts malveillants peuvent être générés, modifiés, améliorés en continu. Et surtout, ils peuvent évoluer pour contourner des défenses classiques, notamment quand les solutions reposent sur des signatures ou des patterns trop connus. Tu changes un bout de code, tu changes la forme, et tu passes sous le radar.

Les ransomwares profitent aussi de cette logique. L’IA peut aider à décider quoi chiffrer, quand déclencher, et comment maximiser l’impact. L’attaquant analyse la valeur d’un système, repère ce qui fait mal, et attend le moment où l’entreprise est la plus vulnérable, une clôture comptable, un pic d’activité, une période de sous-effectif. Ce n’est plus « on chiffre tout au hasard », c’est « on frappe là où ça saigne ».

On voit aussi des techniques plus avancées se démocratiser: contournement de bacs à sable, exécution en mémoire, et même des logiques de géorepérage pour éviter certains pays ou environnements. Avant, c’était le terrain de groupes très structurés. Aujourd’hui, des outils et des modèles rendent ces approches plus accessibles, plus « guidées ». Le pirate moins expérimenté peut suivre une chaîne d’attaque complète, étape par étape, comme un tutoriel interactif.

La critique à garder en tête: l’IA n’efface pas les fondamentaux. Beaucoup d’attaques réussissent encore grâce à une faille basique, un mot de passe faible, un serveur exposé, un accès trop large. Le danger, c’est l’industrialisation. Quand tu peux lancer dix fois plus de tentatives, tu n’as pas besoin que chaque tentative soit parfaite. Tu joues la statistique, et tu finis par tomber sur la porte mal fermée.

APT et attaques longues: l’IA aide à rester discret pendant des mois

Le fantasme, c’est le pirate qui casse tout en une nuit. La réalité, c’est souvent l’inverse: des intrusions qui durent, des accès maintenus, des données siphonnées petit à petit. Les attaques ciblées de long terme, les APT, cherchent justement à passer inaperçues. L’IA peut aider à rendre ces opérations plus « propres »: mieux choisir les moments d’activité, mieux imiter les comportements légitimes, mieux trier ce qui vaut la peine d’être exfiltré.

Dans une APT, l’objectif n’est pas juste d’entrer, c’est de rester. Ça veut dire comprendre un réseau, cartographier les accès, se déplacer latéralement sans déclencher d’alertes. Une IA, ou des outils qui s’appuient sur des modèles, peuvent accélérer cette phase d’observation. Et quand tu compresses le temps d’apprentissage, tu réduis les erreurs humaines. Moins d’erreurs, moins d’indices, plus de chances de durer.

Ce qui m’inquiète le plus, c’est l’asymétrie. Le défenseur doit anticiper un éventail énorme de techniques, pendant que l’attaquant a besoin d’un seul chemin qui marche. Tu peux avoir un SI bien tenu, des équipes sérieuses, et te faire piéger par un détail. L’IA amplifie ce déséquilibre parce qu’elle permet de tester, d’itérer, de varier, sans y passer des semaines.

Mais attention au discours « invincibles ». Les APT, même dopées à l’IA, laissent des traces. Les logs, les accès inhabituels, les connexions étranges finissent par dessiner un motif. Le vrai problème, c’est la capacité des organisations à regarder ces signaux, à les corréler, et à agir vite. Sans ça, tu peux avoir les meilleures solutions du monde, elles te serviront juste à constater l’incendie après coup.

La riposte des défenseurs: détecter en heures, mais la course s’accélère

Côté défense, l’IA n’est pas un gadget de slide PowerPoint. Son impact le plus mesurable, c’est la réduction du délai de détection. Sans outils avancés, une organisation met en moyenne 207 jours à identifier une compromission, selon des chiffres sectoriels largement cités. Avec des systèmes plus intelligents, on peut descendre à quelques heures, parfois des minutes, sur certaines catégories d’attaques. Ça change tout: moins de temps pour exfiltrer, moins de temps pour se déplacer.

Les approches modernes ne se contentent pas de chercher une « signature ». Elles analysent des comportements, des relations, des anomalies. On parle même de modèles qui travaillent en graphe, le graph machine learning, pour repérer des patterns de connexions bizarres entre utilisateurs, serveurs et applications. Pris isolément, chaque accès peut sembler normal. Mis bout à bout, ça raconte une histoire. Et l’IA est bonne pour repérer ces histoires-là.

Autre levier: l’réponse automatisée. Quand un mail suspect est détecté, il peut être mis en quarantaine automatiquement, et l’utilisateur alerté. Sur le papier, c’est parfait. Dans la vraie vie, il y a le risque de faux positifs, de blocages pénibles, de métiers qui crient parce que « ça empêche de bosser ». Donc il faut régler finement, tester, et surtout prévoir qui décide quand l’automate se trompe.

Et puis il y a le revers: les pirates apprennent aussi à contourner les garde-fous, y compris ceux des modèles. On a déjà vu des techniques de contournement par manipulation de consignes, des injections de commandes, des changements de persona. Si un attaquant trouve une faille dans ton système, ou dans ta façon de l’utiliser, il passe. Du coup, l’IA aide, mais elle ne remplace ni l’hygiène de base, ni les procédures, ni le bon sens. Et la course, elle, ne ralentit pas.