Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >
NOUVEAU

Vectra AI est nommée Leader dans le Magic Quadrant 2025 de Gartner pour la détection et réponse aux incidents (NDR). Télécharger le rapport. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Lacunes en matière de sécurité

Comment l'IA alimente la cybercriminalité et pourquoi les failles de sécurité se creusent

10 septembre 2025
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Comment l'IA alimente la cybercriminalité et pourquoi les failles de sécurité se creusent

Qu'il s'agisse de kits de ransomware que n'importe qui peut générer à l'aide d'une invite, de faux employés infiltrant des entreprises du Fortune 500 ou de campagnes d'extorsion menées entièrement par des agents de codage IA, les attaquants ne sont plus limités par les compétences ou l'échelle. Le dernier rapport d'Anthropic sur les menaces montre comment l'IA est devenue l'ultime multiplicateur de force pour la cybercriminalité - comprimant les délais des attaquants de quelques semaines à quelques heures et aidant même les acteurs peu qualifiés à échapper aux défenses traditionnelles.

Le résultat ? Un fossé de plus en plus large en matière de sécurité. Alors que la plupart des organisations s'appuient encore sur des outils de prévention pour stopper les attaques d'hier, les adversaires utilisent l'IA pour contourner complètement ces couches.

Ce que le rapport Anthropic a révélé

1. Les systèmes d'IA agentique sont militarisés

L'une des conclusions les plus frappantes du rapport d'Anthropic est que les modèles d'IA ne sont plus des conseillers passifs, mais des opérateurs actifs dans la chaîne d'attaque.

Dans ce que les chercheurs ont appelé la campagne de piratage vibratoire, un seul criminel a utilisé un agent codant d'IA pour lancer et étendre une campagne d'extorsion de données. Au lieu de se contenter de suggérer des commandes, l'IA les a exécutées directement :

  • Reconnaissance automatisée : L'IA a analysé des milliers de points d'extrémité VPN, identifiant les points faibles à grande échelle.
  • Récolte d'informations d'identification et déplacements latéraux : Il extrait systématiquement les identifiants de connexion, énumère les environnements Active Directory et escalade les privilèges pour pénétrer plus profondément dans les réseaux des victimes.
  • Création de malware personnalisés : En cas de détection, l'IA a généré des variantes de malware obfusqués, déguisés en exécutables Microsoft légitimes, afin de contourner les défenses.
  • Exfiltration de données et orchestration de rançons: L'IA a extrait des dossiers financiers, médicaux et gouvernementaux sensibles, puis les a analysés pour fixer les demandes de rançon et rédiger des notes de rançon psychologiquement ciblées qui menaçaient de compromettre la réputation et la réglementation.
Capture d'écran des notes de rançon personnalisées générées automatiquement par l'IA
Capture d'écran de notes de rançon personnalisées générées automatiquement par l'IA extrait du rapport d'Anthropic

Dix-sept organisations - dont des organismes gouvernementaux, des prestataires de soins de santé et des services d'urgence - ont été touchées en l'espace d'un mois seulement. Les demandes de rançon allaient de 75 000 à plus de 500 000 dollars, chaque note étant conçue pour maximiser la pression exercée sur la victime.

Il s'agit d'un changement fondamental dans l'économie des attaquants:

  • Un acteur isolé, armé d'une IA agentique, peut désormais avoir le même impact qu'un groupe de cybercriminels coordonné.
  • Les opérations qui nécessitaient autrefois des semaines de planification et d'expertise technique peuvent être comprimées en quelques heures grâce à l'IA.
  • L'hypothèse selon laquelle "les attaques sophistiquées nécessitent des adversaires sophistiqués" n'est plus valable.

2. L'IA réduit les obstacles à la cybercriminalité sophistiquée

Un autre thème clé du rapport Anthropic est la façon dont l 'IA rend les techniques d'attaque avancées accessibles à des personnes ayant peu ou pas de compétences techniques.

‍Traditionnellement, la création d'un ransomware nécessitait une connaissance approfondie de la cryptographie, des rouages de Windows et des techniques de furtivité. Dans le cas présent, cependant, un acteur de la menace basé au Royaume-Uni et disposant de compétences techniques limitées a construit et vendu des packages de ransomware-as-a-service (RaaS) entièrement fonctionnels en utilisant l'assistance au codage de l'IA.

  • Aucune expertise technique n'est requise : L'acteur s'est appuyé sur l'IA pour mettre en œuvre le chiffrement ChaCha20, la gestion des clés RSA et les appels à l'API Windows - des capacités qui dépassent de loin son niveau de compétence personnel.
  • Évasion intégrée : L'IA a aidé l'acteur à intégrer des techniques de contournement anti-EDR telles que la manipulation de syscall (FreshyCalls, RecycledGate), l'obscurcissement de chaînes de caractères et l'anti-débogage.
  • Un emballage professionnel : Le ransomware a été commercialisé à des niveaux de service raffinés, allant de kits DLL/exécutables à 400 dollars à des offres groupées de crypteurs complets à 1 200 dollars, avec des consoles PHP et une infrastructure C2 basée sur Tor.
  • L'échelle commerciale : Malgré sa dépendance à l'égard de l'IA, l'opérateur a distribué des malware sur des forums criminels, en proposant des clauses de non-responsabilité "recherche uniquement" tout en vendant activement à des cybercriminels moins qualifiés.
Capture d'écran d'un forum du Dark web annonçant un ransomware à vendre extrait du rapport d'Anthropic

Cet exemple illustre la façon dont l 'IA démocratise l'accès à la cybercriminalité sophistiquée:

  • Le développement de malware complexes n'est plus réservé aux développeurs hautement qualifiés - toute personne ayant l'intention et l'accès à l'IA peut créer des ransomwares viables.
  • Les obstacles liés au temps, à la formation et à l'expertise ont été supprimés, ouvrant le marché à un plus grand nombre d'acteurs malveillants.
  • En abaissant la barre, l 'IA augmente considérablement le volume et la variété des attaques de ransomware auxquelles les entreprises peuvent être confrontées.

3. Les cybercriminels intègrent l'IA dans leurs opérations

Le rapport d'Anthropic montre que les cybercriminels ne se contentent pas d'utiliser l'IA pour des tâches ponctuelles, mais qu'ils l'intègrent dans leurs activités quotidiennes .

‍Unexemple clair vient des agents nord-coréens qui se sont fait passer pour des développeurs de logiciels dans des entreprises technologiques occidentales. Dans ce schéma, l'IA a joué un rôle à chaque étape de l'opération:

  • Création d'une personnalité : Les agents ont utilisé l'IA pour créer des CV professionnels, élaborer des portfolios techniques convaincants et construire des récits de carrière capables de résister à un examen minutieux.
  • Candidature et entretien : L'IA a adapté les lettres de motivation aux offres d'emploi, a préparé les opérateurs aux entretiens techniques et a même fourni une assistance en temps réel lors des évaluations de codage.
  • Maintien de l'emploi : Une fois embauchés, les opérateurs s'appuient sur l'IA pour livrer le code, répondre aux demandes d'extraction et communiquer avec leurs coéquipiers dans un anglais professionnel courant, masquant ainsi les lacunes techniques et culturelles.
  • Génération de revenus : L'IA leur apportant les compétences qui leur manquaient, ces agents ont pu occuper plusieurs emplois à la fois, ce qui a permis d'affecter les salaires directement au programme d'armement de la Corée du Nord.
Exemples de questions que le membre de l'APT poserait à Claude - extrait du rapport d'Anthopic
Exemples de questions que le membre de l'APT poserait à Claude - extrait du rapport d'Anthopic

Il ne s'agit pas seulement de fraude, mais de l'IA en tant qu'épine dorsale opérationnelle:

  • La compétence technique n'est plus une condition préalable à l'accès à des emplois bien rémunérés dans des secteurs sensibles.
  • L'IA permet à des initiés malveillants de conserver des positions à long terme, en tirant des revenus réguliers et de la propriété intellectuelle.
  • Les groupes parrainés par l'État peuvent étendre leur portée sans avoir à étendre les programmes de formation, l'IA remplaçant des années d'enseignement technique par des compétences en temps réel et à la demande.

4. L'IA est utilisée à tous les stades des opérations de fraude

La fraude a toujours été une question d'échelle, de vitesse et de tromperie - et l'IA amplifie désormais ces trois éléments. Le rapport d'Anthropic révèle comment les criminels appliquent l'IA de bout en bout de la chaîne logistique de la fraude, transformant des escroqueries isolées en écosystèmes résilients et industrialisés.

  • Analyse des données et profilage des victimes : Les criminels ont utilisé l'IA pour analyser les énormes fichiers journaux des voleurs, classer les victimes en fonction de leur comportement en ligne et établir des profils détaillés. Les données brutes volées sont ainsi transformées en renseignements exploitables, ce qui permet un ciblage précis.
  • Développement de l'infrastructure : Les acteurs ont construit des plateformes de cardage alimentées par l'IA avec un changement d'API automatisé, des mécanismes de basculement et un étranglement intelligent pour éviter d'être détectés. Ces plateformes ont fonctionné au niveau de l'entreprise, validant et revendant à grande échelle des cartes de crédit volées.
  • Fabrication d'identité : L'IA a été utilisée pour générer des identités synthétiques avec des données personnelles plausibles, permettant aux fraudeurs de contourner les contrôles bancaires et de crédit avec peu d'efforts.
  • Manipulation émotionnelle: Dans les escroqueries à la romance, les chatbots générés par l'IA ont produit des réponses fluides et émotionnellement intelligentes dans plusieurs langues, permettant aux locuteurs non natifs d'interpeller les victimes de manière convaincante et à grande échelle.
Illustration d'un acteur de la menace utilisant le protocole MCP (Model Context Protocol) pour analyser les journaux des voleurs et établir le profil des victimes.
Illustration d'un acteur de la menace utilisant le protocole MCP (Model Context Protocol) pour analyser les journaux des voleurs et établir le profil des victimes. extrait du rapport d'Anthopic

L'IA ne se contente plus d'assister la fraude, elle l'orchestre:

  • Les criminels peuvent automatiser chaque étape de l'opération, de la collecte des données à leur monétisation.
  • Les campagnes de fraude deviennent plus évolutives, plus adaptables et plus difficiles à repérer pour les victimes (ou les banques).
  • Même des acteurs peu qualifiés peuvent créer des services de fraude qui ressemblent à s'y méprendre à des plateformes professionnelles.

Le fossé qui se creuse en matière de sécurité

Ce rapport montre clairement que l'IA ne rend pas seulement les attaquants plus intelligents, mais qu'elle les rend plus rapides et plus insaisissables. Et cette rapidité met en évidence les lacunes des systèmes de sécurité actuels.

  1. Les outils traditionnels ne peuvent pas suivre le rythme. Les défenses des Endpoint , le MFA et la sécurité du courrier électronique sont contournés, et non pas brisés. Les attaquants utilisent l'IA pour contourner ces contrôles - en créant de nouvelles variantes de malware , en générant des leurres d'phishing ou en simulant des employés d'apparence légitime.
  2. Les délais sont raccourcis. Un seul opérateur doté d'une IA peut faire le travail d'une équipe complète - la reconnaissance, les mouvements latéraux et l'extorsion se font désormais en quelques heures au lieu de quelques semaines.
  3. Complexité ≠ sophistication. L'IA permet même à des acteurs non qualifiés de générer des ransomwares avancés, de créer des identités synthétiques ou de mettre en œuvre des systèmes de fraude à grande échelle. Le lien entre expertise technique et complexité des attaques est rompu.

Il s'agit du fossé de la sécuritéLes outils de prévention permettent de se défendre contre les techniques connues, mais les attaquants dotés d'IA exploitent les zones d'ombre qui se trouvent entre les deux. Et à moins que les équipes SOC puissent voir les comportements que l'IA ne peut pas masquer - escalade des privilèges, accès anormal, mouvement latéral, mise en scène des données - la compromission n'est pas détectée.

Combler le fossé avec Vectra AI

Pour les chefs d'entreprise, la conclusion est simple : si les attaquants utilisent l'IA pour augmenter les risques de compromission, votre SOC a besoin de l'IA pour augmenter la détection et la réponse. C'est là que Vectra AI apporte une valeur mesurable.

  • Détecter ce qui échappe à la prévention. Qu'il s'agisse d'un ransomware généré par l'IA, d'employés frauduleux ou d'un vol de données furtif, Vectra AI se concentre sur les comportements des attaquants qui ne peuvent être cachés : escalade des privilèges, mouvement latéral et exfiltration de données.
  • Couverture hybride. Les attaquants ne restent pas dans une seule voie. Vectra AI surveille les systèmes d'identité, les charges de travail en cloud , les applications SaaS et le trafic réseau ensemble, comblant ainsi les lacunes des outils cloisonnés.
  • Priorité à l'IA. Tout comme les adversaires utilisent l'automatisation pour accélérer les attaques, Vectra utilise l'IA pour corréler, hiérarchiser et faire remonter à la surface les menaces les plus urgentes, afin que votre équipe agisse d'abord sur ce qui compte.

La valeur commerciale ? Vous réduisez le risque de pertes financières, d'amendes réglementaires et d'atteinte à la réputation, tout en donnant à votre équipe de sécurité la certitude qu'elle peut détecter les compromissions, même lorsque les attaquants utilisent l'IA pour contourner les couches de prévention. > Lire le rapport IDC sur la valeur commerciale de Vectra AI.

Prêt à découvrir comment Vectra AI peut vous aider à détecter ce que les autres ne voient pas ? Explorez notre démonstration autoguidée et découvrez comment nous comblons les lacunes en matière de sécurité.

Foire aux questions