L’IA agit des cyberattaques et réduit le délai de défense à quelques heures

Comment un service MDR peut détecter des attaques dans l'infrastructure d'entreprise

L’intelligence artificielle a commencé à exécuter des tâches dans le cadre de véritables intrusions, allant de l’exploration de réseaux à la génération de commandes et à l’analyse d’informations volées. Le Rapport de Sécurité AI 2026 de Check Point Research documente l’évolution, où les modèles IA passent du rôle d’assistants de l’attaquant à celui d’agents connectés à des terminaux et outils, capables de maintenir une opération active entre les interventions humaines.

Les clés des cyberattaques opérées par IA en 30 secondes

  • Un attaquant a utilisé Claude Code et GPT-4.1 lors d’une intrusion contre neuf organismes mexicains.
  • Les agents ont généré 5 317 commandes sur 34 sessions, bien que l’opérateur ait conservé le contrôle de l’attaque.
  • Les détections d’injections indirectes de prompts étendus ont été multipliées par cinq entre mars et mai.
  • Les prompts d’entreprise contenant des données sensibles sont passés de 2 % à 4 %.
  • Check Point a identifié des failles de sécurité dans 40 % des 10 000 serveurs MCP analysés.

Le rapport ne décrit pas une intelligence artificielle capable de cibler ses objectifs et d’attaquer sans intervention humaine. Dans les incidents étudiés, un opérateur continue de fixer des priorités, fournir des identifiants ou valider des décisions. La différence technique réside dans le fait que cette personne n’a plus besoin d’intervenir manuellement à chaque étape.

Un agent peut recevoir un objectif, consulter des fichiers, utiliser des outils, saisir des commandes dans une console, puis examiner ses résultats avant d’en déterminer le suivant. Cette capacité permet à une seule personne de gérer plusieurs lignes d’attaque simultanément, réduisant ainsi le temps disponible pour détecter et contenir l’activité.

De la génération de code à l’opération au sein d’un réseau compromis

Jusqu’à récemment, le principal risque associé à l’IA offensive résidait dans sa capacité à rédiger des messages de phishing, à traduire des campagnes ou à aider à écrire des malwares. Check Point affirme qu’au cours de l’année écoulée, ces modèles ont intégré la chaîne d’attaque en temps réel.

IA en tant qu’assistante IA en tant qu’opératrice
Explique une vulnérabilité Teste des actions contre le système
Génère des fragments de code Conçoit et exécute des commandes
Traduit des messages de phishing Adapte des communications à chaque victime
Resumé des informations volées Classe des données et propose de nouvelles tâches
Suggère les prochaines étapes Enchaîne des actions via des outils
Requiert une intervention fréquente Travaille sur des périodes plus longues

L’un des cas les plus remarquables dans le rapport concerne neuf organismes publics mexicains. Un seul attaquant aurait envoyé 1 088 instructions, générant 5 317 commandes via IA lors de 34 sessions. Selon Check Point, l’opération combinait Claude Code pour l’accès et la navigation dans le réseau, avec GPT-4.1 pour analyser les données recueillies et préparer la suite des opérations.

L’activité n’était pas totalement autonome. Les plus de mille instructions humaines montrent que l’opérateur maintainait le contrôle de l’intrusion. Cependant, la proportion entre ordres humains et commandes générées reflète la capacité de déléguer une partie du travail.

Indicateur de l’incident Données recueillies
Organismes affectés 9
Instructions du opérateur 1 088
Commandes exécutées par IA 5 317
Sessions d’attaque 34
Outils cités Claude Code et GPT-4.1

Le rapport analyse également VoidLink, une plateforme de commandement et contrôle comprenant environ 88 000 lignes de code, apparemment créée par une seule personne en moins d’une semaine, avec l’aide d’un environnement de programmation basé sur IA. Les chercheurs pensaient initialement qu’il s’agissait d’un projet collaboratif s’étendant sur plusieurs mois.

Ces exemples n’éliminent pas la nécessité de compétences techniques. Un modèle peut générer du code vulnérable, mal interpréter une réponse ou perdre le contrôle d’une session. L’attaquant doit toujours comprendre l’environnement et rectifier les erreurs. L’IA réduit, mais ne supprime pas, la barrière à l’entrée.

Pour les défenses, cela signifie une accélération des opérations connues. Si la reconnaissance, la génération d’outils et l’analyse de données s’effectuent en parallèle, une intrusion peut progresser plus rapidement que les processus manuels de revue, d’escalade ou d’autorisation des entreprises.

Les agents transforment sites web, documents et MCP en surfaces d’attaque

La même capacité à utiliser des outils ouvre de nouveaux points faibles. Un modèle qui ne fournit que du texte a une portée limitée. Un agent connecté à la messagerie, aux dépôts, aux terminaux ou aux bases de données peut agir directement, avec des conséquences concrètes.

Un des principaux risques est l’injection indirecte de prompts. L’attaquant insère des instructions dans une page web, un document, un email, ou dans les données retournées par une autre application. Lorsqu’un agent traite ce contenu, il peut confondre des instructions malveillantes avec une commande légitime.

Check Point a enregistré une augmentation d’environ cinq fois dans la détection de charges malicieuses étendues entre mars et mai 2026. Au cours du dernier mois analysé, près de 1 % des prompts observés étaient suspects. La société considère que cette croissance indique une présence accrue d’attaques indirectes et de flux d’agents malveillants, même si la longueur d’une instruction seule ne permet pas d’affirmer sa nocivité.

Point d’entrée Risque pour un agent
Page web Instructions cachées dans le texte, commentaires ou métadonnées
Email Instructions insérées dans les messages ou pièces jointes
Document Manipulation lors du résumé ou de l’analyse
dépôt de code Fichiers de configuration modifiés
Serveur MCP Outils vulnérables ou avec permissions excessives
Extension de développement Vol de crédentials et chaîne d’approvisionnement

Le protocole Model Context Protocol (MCP) mérite une attention particulière car il permet de connecter modèles, données et outils. Check Point indique avoir repéré des failles de sécurité dans 40 % des 10 000 serveurs MCP analysés, avec des vulnérabilités de divers degrés, sans que toutes soient exploitées immédiatement.

L’étude a aussi révélé que des fichiers de configuration de Claude Code ont été accidentellement rendus publics dans 428 des 46 500 paquets examinés. Environ une fiche sur treize contenait des identifiants toujours actifs, tels que des clés pour des dépôts ou des services de développement.

Le risque augmente lorsque qu’un agent dispose de permissions étendues pour simplifier l’accès. Une instruction manipulée peut sembler anodine sur un chatbot isolé, mais peut entraîner la lecture de fichiers, l’installation de logiciels, ou l’envoi d’informations lorsque le modèle dispose d’outils intégrés.

C’est pourquoi la sécurité des agents ne peut se limiter à filtrer les questions. Elle doit également gérer les identités, permissions, connecteurs, journaux d’activité et actions autorisées. Chaque outil supplémentaire augmente non seulement la capacité du système, mais aussi le potentiel de dégâts en cas d’usage malveillant.

La fuite quotidienne de données dépasse la menace d’attaques sophistiquées

Le rapport souligne qu’une part importante de l’exposition des entreprises ne provient pas forcément d’intrusions, mais de l’usage quotidien des applications génératives. Les employés partagent du contexte afin d’obtenir des réponses plus précises, incluant parfois du code source, des identifiants, des données personnelles ou des documents internes.

Entre octobre 2025 et mai 2026, les organisations analysées ont utilisé en moyenne dix applications IA par mois. Le nombre de prompts par utilisateur est passé de 56 en décembre 2025 à 70 en mai 2026, tandis que 87 % à 93 % des entreprises ont enregistré au moins une interaction à haut risque chaque mois.

Indicateurs d’usage professionnel Résultats
Applications IA par organisation/mois 10
Prompts par utilisateur (décembre 2025) 56
Prompts par utilisateur (mai 2026) 70
Organisations avec une interaction à risque chaque mois Entre 87 % et 93 %
Prompt contenant des données sensibles (début) 2 %
Prompt contenant des données sensibles (fin) 4 %

La proportion de prompts considérés comme à haut risque a doublé, passant de 2 % à 4 %. En pratique, cela signifie qu’on passe d’une interaction problématique pour 50 à une pour 25.

Les secteurs avec la plus forte moyenne étaient les services aux entreprises, avec 5,91 %, suivis par la distribution en gros avec 5,47 %, les télécommunications à 4,06 %, et le logiciel à 3,52 %. Ces données, issues de la télémétrie de Check Point, ne concernent pas nécessairement toutes les entreprises de ces secteurs.

L’identité perd aussi de sa fiabilité comme seul moyen de contrôle. Une étude a montré que des évaluateurs entraînés reconnaissaient correctement environ 41 % des visages générés par IA, contre 30 % pour des non-entraînés. Une simple reconnaissance faciale, vocale ou vidéo ne suffit plus comme preuve autonome d’identité.

Pour les équipes techniques, le changement le plus immédiat n’est pas l’apparition d’un attaquant totalement autonome, mais la convergence de trois tendances : des opérations offensives plus rapides, des agents d’entreprise avec accès à des outils, et un volume croissant de données partagées avec des services externes.

Check Point recommande de se concentrer sur la protection des systèmes d’IA, l’utilisation d’IA pour répondre à la vitesse de la machine et la gestion des applications employées par les équipes. Cette approche s’aligne avec leur offre commerciale, mais il est utile de distinguer les données techniques du rapport des solutions commerciales proposées par le fabricant.

Questions fréquentes

Une IA peut-elle réaliser une cyberattaque entièrement seule ?

Les cas documentés impliquent toujours une supervision humaine. La IA peut exécuter de nombreuses étapes entre deux interventions, mais elle nécessite encore des objectifs, des accès, et une supervision.

Qu’est-ce qu’une injection indirecte de prompts ?

C’est l’insertion d’instructions malveillantes dans un contenu que l’agent consulte, comme une page web, un email ou un document. Le modèle peut l’interpréter comme une commande légitime et utiliser ses outils pour l’accomplir.

Pourquoi MCP augmente-t-il la surface d’attaque ?

MCP connecte modèles, fichiers, services et applications. Une mauvaise configuration ou des permissions excessives peuvent permettre à une instruction manipulée d’atteindre des systèmes externes.

Quel est le risque le plus fréquent pour une entreprise ?

L’utilisation quotidienne des outils IA. Le rapport note une augmentation des prompts contenant des données d’entreprise, personnelles ou réglementées, souvent sans qu’il y ait eu une attaque directe.

via : Open Security

le dernier