L’intelligence artificielle (IA) ne se limite plus à une simple technologie au service de la productivité des entreprises ; elle devient également une arme de pointe pour les cybercriminels. Selon le rapport Threat Hunting 2025 de CrowdStrike, présenté lors de la conférence Black Hat USA 2025 à Las Vegas, un changement significatif s’opère dans le paysage de la cybersécurité : les attaquants exploitent désormais l’IA générative pour intensifier leurs opérations, ciblant en particulier des agents autonomes d’IA, considérés comme un enjeu émergent et stratégique.
L’utilisation de l’IA générative, ou GenAI, bouleverse la criminalité numérique en permettant l’automatisation complète des phases d’attaque. Des groupes comme l’organisation nord-coréenne FAMOUS CHOLLIMA automatisent désormais tout le processus, de la création de faux CV et d’interviews deepfake à l’exécution de tâches techniques avec de fausses identités, rendant leurs opérations plus persistantes et évolutives que jamais. Parallèlement, des acteurs étatiques tels que EMBER BEAR, lié à la Russie, renforcent leur propagande digitale via l’IA, tandis que le groupe iranien CHARMING KITTEN déploie des campagnes de phishing de plus en plus sophistiquées grâce à des modèles linguistiques avancés.
Les agents autonomes d’IA, capables de prendre des décisions et d’exécuter des actions sans supervision constante, sont devenus des cibles de choix pour les cybercriminels, qui exploquent leurs vulnérabilités pour dérober des identifiants, déployer des malwares ou même lancer des ransomwares. Selon Adam Meyers, responsable des opérations contre les adversaires chez CrowdStrike : « Chaque agent d’IA représente une identité surhumaine au sein de l’entreprise : autonome, rapide et profondément intégrée. Les attaquants les traitent comme une infrastructure critique, au même titre que les plateformes SaaS ou les environnements cloud. »
De plus, le malware généré par l’IA n’est plus une menace hypothétique mais une réalité opérationnelle. Des hackers et activistes peu spécialisés utilisent désormais l’IA pour générer des scripts, résoudre des problèmes ou créer du code malveillant. Des exemples comme Funklocker ou SparkCat montrent que cette menace est bien présente.
Les attaques s’accélèrent aussi. Le groupe Scattered Spider, en rebond, revient avec une approche plus rapide et destructrice, utilisant la fraude par appels et la falsification de support technique pour réinitialiser des accès, éviter la multi-authentification et se déplacer latéralement dans des environnements SaaS ou cloud. Dans un incident rapporté, la progression initiale de l’intrusion jusqu’au chiffrement des systèmes a été accomplie en moins de 24 heures.
Les intrusions dans les environnements cloud ont connu une augmentation de 136 % en un an, avec la Chine responsable de 40 % de cette croissance. Les équipes malveillantes telles que Genesis Panda ou Murky Panda ont profité de configurations mal paramétrées ou d’accès de confiance pour opérer discrètement, révélant de graves failles dans la gestion de sécurité de nombreuses entreprises.
Ce contexte souligne l’urgence pour la cybersécurité : protéger l’infrastructure d’IA est aussi crucial que la sécurisation des serveurs ou des réseaux. Les agents autonomes et modèles d’IA, s’ils sont compromis, peuvent devenir des armes contre leur propre organisation. CrowdStrike recommande ainsi aux entreprises d’adopter une stratégie intégrée, comprenant une protection renforcée des données, une surveillance continue des activités des systèmes d’IA et des audits réguliers des modèles et agents pour détecter tout comportement anormal.
Dans un paysage où une infiltration peut évoluer en sinistre en quelques heures, la rapidité de réponse et la capacité de récupération sont désormais indispensables pour faire face à ces nouvelles menaces.
