Les logiciels malveillants alimentés par l’IA évoluent vers une menace sophistiquée et autonome
Nous assistons aujourd’hui à une dans la manière dont les cyberattaques opèrent. Le groupe russe parrainé par l’État, APT28, a récemment déployé un véritable logiciel malveillant doté d’une intelligence artificielle, appelé LAMEHUG. Il ne se contente pas d’infecter les systèmes. Il utilise des modèles de langage pour interagir avec son environnement en temps réel, en prenant des décisions, en recueillant des données et en distrayant les cibles avec des documents d’apparence officielle ou des distractions visuellement explicites tout en travaillant en arrière-plan.
Il s’agit d’un logiciel malveillant capable de penser ou, plus précisément, de réagir en contexte. Il interagit par le biais d’API conçues à l’origine pour des modèles d’IA bénins, comme ceux hébergés par Hugging Face. Il utilise des jetons d’API volés, 270 d’entre eux, pour interroger en permanence des modèles très performants tels que Qwen2.5-Coder-32B-Instruct. Il ne s’agit donc pas d’un simple code statique installé sur un serveur. Ces systèmes s’adaptent en cours d’opération et utilisent une infrastructure légitime pour fonctionner sans être détectés.
Pour les environnements d’entreprise, cela signifie que la frontière entre les « outils internes sûrs » et les « menaces externes » n’existe plus. Le périmètre n’existe plus. Les LLM destinés à accroître la productivité peuvent désormais être exploités depuis l’intérieur de votre réseau. Ils sont branchés, réglés pour l’optimisation, et maintenant ils sont des armes potentielles.
C’est Vitaly Simonovich, chercheur en sécurité chez Cato Networks, qui a mis cela en lumière. Il a suivi le déroulement en temps réel de l’opération tradecraft alimentée par le LLM en Ukraine, et le message qu’il a transmis à VentureBeat est simple : ce qui arrive à l’Ukraine aujourd’hui peut arriver, et arrivera probablement, à votre organisation demain si vous n’êtes pas prêt.
Vous n’avez plus besoin d’exploits sur mesure ou de vulnérabilités « zero-day » pour causer des dommages. Les modèles de langage eux-mêmes font désormais partie de l’infrastructure d’attaque. C’est ce qui en fait un changement profond, qui exige l’attention du conseil d’administration.
Les outils d’IA d’entreprise peuvent être rapidement transformés en plateformes de développement de logiciels malveillants avec un minimum d’expertise technique.
Parlons de vitesse et d’accès, non seulement du point de vue du développement de produits, mais aussi du point de vue de la sécurité. L’IA d’entreprise est aujourd’hui si puissante que vous pouvez l’utiliser à mauvais escient pour créer des logiciels malveillants à partir de zéro en une seule après-midi. Ce n’est pas une hypothèse. Vitaly Simonovich l’a montré en direct lors d’une réunion d’information à Black Hat. Il a pris des modèles courants, ChatGPT-4o d’OpenAI, Copilot de Microsoft, DeepSeek-V3 et DeepSeek-R1, et les a transformés en générateurs de logiciels malveillants totalement opérationnels. La méthode qu’il a utilisée ? La narration.
Il l’appelle « Immersive World » (monde immersif). On ne demande pas directement à l’IA d’écrire des logiciels malveillants. Au lieu de cela, elle est projetée dans un scénario fictif où la création d’outils malveillants fait partie de l’histoire. Il s’agit d’une manipulation du contexte, l’IA pensant qu’elle écrit un roman ou une esquisse de personnage. Mais le résultat est un code d’attaque du monde réel, affiné de manière interactive à l’aide de multiples invites. Elle a écrit un voleur de mot de passe Chrome et l’a débogué, ligne par ligne, en donnant l’illusion qu’elle aidait à expliquer un concept de l’histoire. Le projet a été achevé en six heures.
Il ne s’agit pas d’une évasion de la politique. Il s’agit d’un contournement de la compréhension. Les entreprises doivent comprendre à quel point il est facile de retourner ces outils contre elles en faisant preuve de créativité. Vous n’avez pas besoin de diplômes d’ingénieur. Vous n’avez pas besoin d’un laboratoire de logiciels malveillants. Vous avez juste besoin de temps et d’une fenêtre rapide.
Voici ce que cela signifie si vous dirigez une entreprise : chaque outil d’IA intégré dans votre flux de travail, même ceux déployés pour améliorer l’efficacité, a le potentiel d’être manipulé. Nous sommes entrés dans une phase où la créativité humaine peut dépasser les filtres techniques, et chaque LLM est essentiellement une toile vierge jusqu’à preuve du contraire.
Selon le Cato CTRL Threat Report de 2025, la démonstration de Simonovich n’était pas théorique. Elle a produit un code qui a fonctionné, fonctionnel et exploitable, sans déclencher les mécanismes de sécurité modernes de l’IA. Cela devrait servir de signal à tous les DSI et RSSI : vos outils d’IA n’ont pas seulement besoin de contrôles de permissions. Ils ont besoin de contrôles contextuels. La sécurité statique ne suffit pas lorsque la menace est dynamique et conversationnelle.
Nous avons mis en place une infrastructure intelligente. Nous avons maintenant besoin de protections intelligentes qui comprennent la manipulation, et pas seulement les signatures de logiciels malveillants.
L’économie souterraine de la cybercriminalité offre désormais des outils d’attaque à faible coût, alimentés par l’IA et non surveillés.
Le matériel n’est plus la limite. Le prix non plus. Pour seulement 250 dollars par mois, les acteurs de la menace, ou pratiquement n’importe qui, peuvent accéder à des plateformes d’IA plus puissantes et plus permissives que tout ce que l’on trouve dans les environnements commerciaux réglementés. Ces outils sont fonctionnels, prêts à l’emploi et totalement libres. M. Simonovich en a découvert plusieurs au cours de ses recherches, notamment Xanthrox AI et Nytheon AI. Il ne s’agit pas de démonstrations ou de projets universitaires. Il s’agit de plates-formes pleinement opérationnelles, dotées d’un système de paiement complet, d’une assistance à la clientèle et de mises à jour régulières.
Ce qui les distingue, c’est l’absence de contrôles de sécurité. Alors que des outils comme ChatGPT ou Claude intègrent des filtres pour bloquer les utilisations malveillantes ou les sujets sensibles, ces modèles du marché noir les suppriment. Par exemple, Simonovich a testé Xanthrox en demandant des instructions sur la fabrication d’armes nucléaires. Le modèle a répondu, immédiatement et en détail. Ce niveau de résultat ne proviendrait pas d’une application d’IA légitime. Mais ici, il s’agit de systèmes conçus pour ne pas être respectés.
Nytheon AI était pire en termes de sécurité opérationnelle. Ses équipes ont donné facilement accès à des essais. Elles divulguaient ouvertement des détails sur le backend, comme l’utilisation du Llama 3.2 de Meta, peaufiné pour éliminer la censure. Une fois affiné, un modèle linguistique n’agit plus dans le cadre des politiques de son architecture de base. À partir de ce moment, il s’agit simplement d’un moteur haute performance sans modération, calibré pour générer tout ce que l’opérateur veut.
Les dirigeants d’entreprise doivent réfléchir clairement à ce que cela signifie pour leurs modèles de risque. Pour moins de 300 dollars par mois, un pirate peut accéder aux mêmes performances génératives à grande échelle que celles utilisées par les entreprises du classement Fortune 500 pour leur productivité. Il ne s’agit pas de scripts occasionnels vendus sur le Web. Il s’agit de systèmes à haute fiabilité qui imitent les principales plateformes d’IA avec des paramètres peu contraignants et une réactivité extrême. Ils peuvent écrire des logiciels malveillants, exécuter des simulations de code, aider à l’ingénierie sociale, et ils sont vendus comme des services automatisés.
Il ne s’agit plus d’une question de codage d’élite ou de ressources étatiques avancées. L’écosystème permettant des attaques numériques perturbatrices s’est commercialisé, et les prix sont devenus suffisamment bas pour permettre de passer à l’échelle supérieure. Il ne faut pas le sous-estimer.
L’adoption rapide de l’IA par les entreprises élargit la surface d’attaque de la cybersécurité
L’IA est intégrée partout. Il est désormais courant que les principales plateformes d’IA soient déployées dans des environnements de production, non seulement en tant que fonctions d’appui, mais aussi en tant qu’outils centraux dans les opérations commerciales. Cato Networks a analysé plus de 1,46 trillion de flux réseau, et la tendance est claire. L’utilisation de l’IA dans l’industrie du divertissement a augmenté de 58 %, dans l’hôtellerie de 43 % et dans les transports de 37 %, le tout en l’espace d’un seul trimestre. Il ne s’agit pas de preuves de concept, mais de déploiements réels.
Ce niveau d’adoption se traduit par un plus grand nombre de points d’entrée. Plus l’utilisation augmente, plus le risque s’accroît. C’est le compromis à faire. La plupart des entreprises intègrent des modèles tels que Claude, Perplexity, Gemini et Copilot sans attendre la maturité complète de l’écosystème en matière de gouvernance ou de contrôle. Lorsque les systèmes d’IA commencent à traiter la documentation interne, les données des clients ou la logique opérationnelle, même les vulnérabilités mineures deviennent structurelles.
Entre le premier et le quatrième trimestre 2024, l’adoption par les entreprises a bondi pour toutes les principales plateformes : 111 % pour Claude, 115 % pour Perplexity, 58 % pour Gemini, 36 % pour ChatGPT et 34 % pour Copilot. Ces chiffres, tirés directement du Cato CTRL Threat Report, montrent que l’IA n’est plus expérimentale. Elle est au cœur des opérations dans tous les secteurs. L’informatique, le marketing, l’assistance à la clientèle, l’ingénierie, tout cela est accéléré par l’IA.
Mais voici la partie qui doit rester dans la conversation de la salle de conférence : il ne s’agit pas d’environnements fermés. Ces modèles interagissent avec les API du cloud, ingèrent des données externes et traitent les contributions stratégiques des équipes de l’ensemble de l’organisation. Ils sont donc très exposés. Si les filtres de sécurité échouent, comme l’a montré Simonovich, les LLM ne se contentent pas de fuir des informations. Ils génèrent une logique malveillante sur demande. Ils comblent le fossé entre l’intention et l’exécution.
L’implication pour les décideurs de niveau C est la suivante : à mesure que l’adoption de l’IA se généralise, la sécurité doit évoluer au même rythme. Il ne s’agit plus seulement de sécuriser l’infrastructure, mais aussi l’intention, le contexte et l’exposition. Vous sécurisez l’intention, le contexte et l’exposition, et la plupart des systèmes actuels ne sont pas conçus pour gérer cela. Ce qui a commencé comme une poussée de productivité est maintenant une question de résilience opérationnelle.
La réponse des principaux fournisseurs d’IA aux menaces émergentes a été incohérente et insuffisante.
Lorsque des failles de sécurité impliquant des outils d’IA ont été révélées, la réaction a été fragmentée. Cato Networks a présenté une méthode de menace claire et documentée, la technique du « monde immersif », qui permet aux utilisateurs d’amener les LLM à produire des logiciels malveillants fonctionnels en quelques heures. Malgré ses implications, tous les fournisseurs n’ont pas réagi ou n’ont même pas reconnu la gravité du problème.
Microsoft a pris des mesures. Elle a publié des mises à jour de Copilot, a corrigé la vulnérabilité et a publiquement remercié Vitaly Simonovich pour son travail. C’est la réponse que vous attendez. Elle est proactive et indique la responsabilité. Mais il s’agit d’une exception. Google a refusé d’évaluer la preuve de concept du voleur d’informations Chrome, citant des similitudes avec des échantillons existants. DeepSeek n’a pas répondu du tout. OpenAI a confirmé la réception de la divulgation, mais a choisi de ne pas y donner suite.
Ce manque d’urgence est préoccupant. Il ne s’agit pas de bogues mineurs de l’interface utilisateur, mais de faiblesses structurelles exploitées en temps réel. Cela révèle un manque de maturité. Ces plateformes n’ont pas été conçues en tenant compte de ces nouveaux vecteurs de menace, de la manipulation des conversations, de l’injection d’invites ou de la génération de code basée sur la fiction. Et lorsqu’un chercheur compétent en fait la démonstration, on s’attend à ce que les grandes entreprises s’adaptent rapidement. Dans la plupart des cas, ce n’est pas le cas.
Pour les dirigeants, il est important de reconnaître qu’il est erroné de compter uniquement sur les fournisseurs pour sécuriser ces outils. Les entreprises doivent partir du principe que les mises à jour défensives peuvent être retardées ou dépourvues de priorité. Les contrôles internes, y compris la modélisation comportementale, la surveillance contextuelle et la vérification humaine dans la boucle, doivent combler cette lacune. Il ne s’agit pas de remplacer les fournisseurs. Il s’agit de ne pas attendre qu’ils agissent à la vitesse requise alors que votre risque se multiplie dans tous les départements.
L’IA a modifié la surface d’attaque. Mais elle modifie également la responsabilité des fournisseurs. La diligence en matière de sécurité ne peut pas s’arrêter à la signature du contrat. Les entreprises doivent faire pression sur leurs fournisseurs pour qu’ils fassent preuve de transparence, de rapidité et d’un suivi plus cohérent lorsque les menaces sont clairement prouvées et publiées avec des méthodes reproductibles. L’environnement des menaces évolue plus rapidement que les cycles de réponse de la plupart des fournisseurs. Ce décalage doit être pris en compte par les dirigeants.
L’utilisation abusive de l’IA a éliminé la barrière traditionnelle de l’expertise pour le développement de cyberattaques avancées.
L’idée selon laquelle les cyberattaques nécessitent des compétences techniques approfondies est dépassée. Vitaly Simonovich a montré qu’avec un peu de temps et les bonnes instructions, n’importe qui peut guider des systèmes d’IA de qualité commerciale dans la création de logiciels malveillants. Il n’a pas écrit de code à la main. Il n’a pas exploité de bogues dans les logiciels. Il a simplement engagé la conversation avec des LLM en utilisant une technique narrative, et les modèles ont répondu en produisant des logiciels malveillants fonctionnels.
La faiblesse n’est pas liée à la fonction principale de l’IA, mais à la manière dont elle interprète le contexte. Tant que les demandes directes de logiciels malveillants sont bloquées, les développeurs pensent que le système est sûr. Ce n’est pas le cas. La méthode « Immersive World » de Simonovich contourne les filtres conventionnels en attribuant à l’IA un rôle fictif et en superposant des tâches qui semblent bénignes jusqu’à ce que le résultat final émerge, un code nuisible entièrement exécutable.
De nombreux modèles ne détectent pas la tromperie parce qu’ils se concentrent sur le contenu et non sur l’intention. C’est là que réside la faille. Elle permet à des individus très compétents et, ce qui est plus inquiétant, à des utilisateurs peu qualifiés, de réutiliser l’IA pour en faire la boîte à outils d’un attaquant. Il ne s’agit plus de comprendre le langage machine ou de compiler des charges utiles. Il s’agit de savoir comment tenir le bon type de conversation.
Il s’agit d’un problème qui s’étend rapidement.
La dernière enquête mondiale de McKinsey sur l’IA a révélé que 78 % des entreprises utilisent déjà l’IA dans au moins une fonction de l’entreprise. Dans la plupart des entreprises, la technologie est donc déjà présente. Les équipes de productivité, les services de marketing, les groupes d’ingénierie interagissent tous régulièrement avec ces modèles. Et c’est tout ce qu’il faut. L’utilisation abusive ne nécessite pas d’accès non autorisé. Il suffit d’un engagement créatif.
Les dirigeants doivent mettre à jour leurs hypothèses dès maintenant. La formation, la surveillance et la gouvernance des politiques doivent être mises à jour dans l’ensemble de l’organisation. Ce qui fonctionnait auparavant, les pare-feu, les restrictions d’accès, les filtres statiques, ne s’applique plus dans cet environnement. Vous ne vous défendez plus contre les compétences techniques. Vous vous défendez contre la manipulation contextuelle.
Il s’agit d’un changement dans l’identité de vos adversaires, les outils dont ils disposent et l’endroit où ils opèrent, et ce changement touche tous les processus de votre entreprise fondés sur l’IA. L’ignorer n’est plus une option.
Il est désormais possible de déployer des capacités de cyberattaque au niveau d’un État-nation avec un minimum d’investissement et d’effort.
Nous avons officiellement franchi un seuil opérationnel. Ce qui nécessitait auparavant le soutien du gouvernement, des équipes spécialisées et des mois de planification est désormais possible avec six heures d’interaction ciblée et un abonnement de 250 dollars. C’est le coût total de la transformation d’une IA de qualité grand public en une cyberarme opérationnelle. Il ne s’agit pas d’une projection théorique, mais d’un déploiement réel déjà en cours.
APT28, un groupe russe parrainé par l’État, a déjà mis cela en pratique avec le logiciel malveillant LAMEHUG. Ce modèle a effectué une reconnaissance complexe de cibles en Ukraine à l’aide de 270 jetons d’API Hugging Face volés. Il exécutait en temps réel des instructions générées par l’IA tout en affichant des PDF gouvernementaux pour tromper les utilisateurs et exfiltrer des données en arrière-plan. Le niveau de coordination est ici très élevé, non seulement en termes de fonctionnalité, mais aussi en termes de conception. C’est maintenant que cela se passe, pas dans le futur.
Vitaly Simonovich a prouvé à quel point le processus est reproductible. Il a montré qu’un utilisateur standard, sans expérience dans le codage de logiciels malveillants, pouvait guider des modèles d’IA dans la production d’outils malveillants complexes. La méthode, qui s’appuie sur des invites stratégiques et un développement narratif étape par étape, a permis de produire en moins d’une journée un voleur de mot de passe Chrome testé et affiné à travers de multiples itérations.
Dans le même temps, les plateformes d’IA clandestines abaissent encore les barrières de coût. Des services comme Xanthrox et Nytheon proposent des interfaces ressemblant à des outils commerciaux, mais sans aucune garantie. Il n’y a pas de limites de taux, pas de filtres éthiques intégrés. Ils sont conçus pour produire rapidement des outils personnalisés et vendent l’accès. Ces plateformes ont des clients, des canaux d’assistance et des systèmes de facturation, fonctionnant ouvertement avec une infrastructure qui imite les modèles SaaS légitimes.
Il en résulte un écosystème autonome de cybercapacités qui ne sont plus l’apanage des gouvernements. Toute personne disposant de fonds minimaux et d’une compréhension technique approximative peut atteindre le même niveau de perturbation que celui qui était autrefois associé aux agences d’espionnage. Cela change les enjeux pour tous ceux qui travaillent dans des secteurs soucieux de la sécurité, la finance, l’industrie, la santé, les infrastructures et même la technologie grand public.
Le dernier rapport de McKinsey sur l’IA indique que 78 % des organisations utilisent désormais l’IA dans au moins une fonction. Cela signifie qu’il ne s’agit pas d’un risque marginal. Il est présent tout au long de votre chaîne de valeur, y compris dans les outils sur lesquels vos équipes s’appuient déjà.
La reconnaissance de cette convergence, entre les outils de productivité quotidiens et les outils de cyberattaque, doit conduire à une refonte de la sécurité au niveau stratégique. Pas au prochain trimestre. Aujourd’hui. Les adversaires sont déjà à l’intérieur du périmètre, et les outils fonctionnent déjà à l’intérieur de vos systèmes sous un autre nom : la productivité.
Dernières réflexions
Il ne s’agit pas d’un changement théorique. Il s’agit d’un phénomène opérationnel, actif et qui évolue déjà plus vite que la plupart des organisations ne peuvent réagir. L’IA est passée du statut d’outil à fort potentiel à celui de vecteur de menace, non pas parce qu’elle est imparfaite, mais parce qu’elle est puissante et largement accessible.
L’idée que les cyberattaques viennent de l’extérieur n’est plus exacte. Avec suffisamment de créativité, un employé, un sous-traitant ou un acteur extérieur peut transformer vos propres systèmes d’intelligence artificielle en infrastructure d’attaque, et il n’a pas besoin d’écrire une ligne de code pour le faire. Le périmètre n’existe plus, et la sécurité n’est plus seulement une question de pare-feu ou de journaux d’accès. Il s’agit de comprendre comment ces systèmes se comportent dans le monde réel, dans le cadre d’une utilisation non supervisée.
Pour les dirigeants, cela appelle une réponse claire. Premièrement, reconnaissez que l’adoption de l’IA doit s’accompagner d’une stratégie de sécurité adaptative à la même vitesse. Deuxièmement, vérifiez vos modèles, non seulement en termes de performance, mais aussi en termes de potentiel d’utilisation abusive. Troisièmement, exigez davantage des fournisseurs. Des correctifs plus rapides. Plus de transparence. Une véritable responsabilité.
La technologie n’est pas le risque. C’est l’écart entre le contrôle et la créativité qui l’est. C’est là que les attaquants modernes opèrent. Et c’est là que votre organisation a besoin d’une plus grande visibilité, de cycles de réponse plus rapides et d’un contrôle au niveau de la direction.
Il ne s’agit pas de peur. Il s’agit d’être prêt. Les outils que vous avez achetés pour aller plus vite nécessitent désormais des défenses plus intelligentes et plus agiles, car si vous ne contrôlez pas la manière dont ils sont utilisés, quelqu’un d’autre le fera.
