Une nouvelle étude de Microsoft avertit les organisations que les acteurs malveillants ont commencé à intégrer l’intelligence artificielle (IA) dans leurs flux de travail pour accélérer les échanges, contourner les mesures de protection et mener des activités malveillantes.
Tout comme le monde de la cybercriminalité a adopté les pratiques commerciales d’entreprises légitimes – structures organisationnelles de type entreprise, modèles en tant que service et spécialisation – il imite les entreprises qui intègrent l’IA dans leurs opérations pour augmenter la vitesse, l’échelle et la résilience des opérations malveillantes, a expliqué Microsoft dans son blog sur la sécurité.
Il a noté que l’unité de renseignement sur les menaces de Microsoft a observé que la plupart des utilisations malveillantes de l’IA aujourd’hui se concentrent sur des modèles de langage produisant du texte, du code ou des médias. Les auteurs de menaces utilisent l’IA générative pour rédiger des leurres de phishing, traduire du contenu, résumer les données volées, générer ou déboguer des logiciels malveillants et échafauder des scripts ou une infrastructure.
« L’IA s’intègre rapidement tout au long du cycle de vie des cyberattaques, mais pas toujours de la manière attendue », a déclaré Ensar Seker, RSSI de SOCRadar, une société de renseignement sur les menaces basée à Newark, dans le Del.
« Dans de nombreux cas, les auteurs de menaces ne construisent pas leurs propres modèles d’IA avancés », a-t-il déclaré à TechNewsWorld. « Au lieu de cela, ils opérationnalisent les outils d’IA générative existants pour accélérer les flux de travail traditionnels des attaquants. »
« Le plus grand impact de l’IA dans les cyberopérations est l’efficacité plutôt que des techniques d’attaque complètement nouvelles », a-t-il ajouté.
« Cependant », a-t-il poursuivi, « l’IA ne remplace pas le métier d’attaquant traditionnel ni n’élimine le besoin d’expertise humaine. Les campagnes sophistiquées, en particulier celles menées par des groupes d’États-nations, reposent toujours largement sur la reconnaissance manuelle, les outils personnalisés et la discipline de sécurité opérationnelle. »
« L’IA agit davantage comme un multiplicateur de force que comme un substitut aux tactiques établies », a-t-il déclaré. « Les auteurs de menaces ont toujours besoin d’un accès, d’une infrastructure et d’un objectif clair. L’IA les aide simplement à agir plus rapidement une fois ces éléments en place. »
L’IA accélère la préparation des attaques
« Pensez à l’endroit où les acteurs de la menace passaient leur temps », a observé Stu Bradley, vice-président senior des solutions de risque, de fraude et de conformité chez SAS, une société de logiciels d’analyse et d’IA à Cary, en Caroline du Nord. « Trouver et rechercher leurs victimes, rédiger des messages de phishing convaincants, développer une relation sur des semaines ou des mois pour obtenir cette escroquerie amoureuse.
« Grâce à l’utilisation d’outils d’IA facilement disponibles, ces tâches autrefois fastidieuses sont rationalisées et automatisées », a-t-il déclaré à TechNewsWorld. « GenAI permet aux fraudeurs de produire du contenu soigné et ciblé en quelques secondes – un contenu qui aurait auparavant pris des heures à créer. En conséquence, l’écart entre la recherche d’une ou plusieurs victimes, comme c’est souvent le cas, et le lancement d’une attaque ne cesse de se réduire. «
« Et comme les criminels utilisent également ces outils d’IA pour automatiser leurs attaques, ils peuvent également cibler beaucoup plus de victimes à la fois, avec beaucoup moins d’efforts manuels », a-t-il déclaré. « L’impact est stupéfiant si l’on considère que la plupart des stratagèmes frauduleux sont un jeu de chiffres. Vous ne réussirez pas à chaque fois, mais plus vous essayez souvent, meilleures sont vos chances. »
Les acteurs de la menace exploitent l’IA pour automatiser entièrement les étapes manuelles et fastidieuses de la cyber-chaîne de destruction, a ajouté Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security, un fournisseur de sécurité API à Palo Alto, en Californie.
« Ils utilisent l’IA générative pour effectuer rapidement des reconnaissances, écrire et déboguer du code malveillant et créer des programmes de phishing hautement ciblés en quelques secondes », a-t-il déclaré à TechNewsWorld. « En réduisant le temps nécessaire au développement et au déploiement d’un exploit, les adversaires peuvent frapper plus rapidement que les mesures de sécurité traditionnelles ou que les analystes humains ne peuvent réagir. »
Multiplicateur de force
Microsoft a noté que son unité de renseignement sur les menaces a observé des acteurs malveillants utilisant l’IA dans les aspects opérationnels de leurs activités, qui ne sont pas intrinsèquement malveillantes mais soutiennent matériellement leurs objectifs plus larges. Dans ces cas-là, l’IA est appliquée pour améliorer l’efficacité, l’échelle et la durabilité des opérations, et non pour exécuter directement des attaques.
« L’IA permet aux auteurs de menaces d’exécuter une plus grande partie du cycle de vie des attaques en parallèle », explique Jacob Krell, directeur principal des solutions sécurisées d’IA et de la cybersécurité chez Suzu Labs, à Las Vegas, un fournisseur de services de cybersécurité basés sur l’IA.
« La reconnaissance, le développement de personnalités, la génération de leurres de phishing, la configuration de l’infrastructure et le tri des données après compromission peuvent tous être effectués plus rapidement et sur plus de cibles à la fois », a-t-il déclaré à TechNewsWorld. « Ce qui nécessitait auparavant plusieurs spécialistes peut désormais être compressé en un flux de travail reproductible. »
L’IA résout le problème d’effectifs de ces réseaux criminels organisés, a ajouté Bradley de SAS. « Vous n’avez plus besoin d’une grande équipe pour diriger une grande opération », a-t-il expliqué. « L’automatisation de la génération de contenu IA signifie qu’ils peuvent inonder simultanément les e-mails, SMS, voix et réseaux sociaux de messages personnalisés qui passent le test de détection de manière beaucoup plus convaincante que les escroqueries du passé. »
L’IA fonctionne comme un puissant multiplicateur de force, permettant à un seul attaquant de coordonner des milliers d’intrusions simultanées, a noté Schwake de Salt Security. « Les attaquants utilisent l’IA pour automatiser la reconnaissance des cibles, la pulvérisation des mots de passe et la configuration rapide d’une infrastructure d’attaque, telle que des domaines similaires », a-t-il déclaré. « Cette capacité permet à des acteurs relativement inexpérimentés d’exécuter des campagnes très complexes sur une surface d’attaque mondiale sans augmentation correspondante des ressources humaines. »
L’IA aide les attaquants à se reconstruire plus rapidement
Microsoft a également souligné que les acteurs malveillants exploitent l’IA pour développer des ressources. Grâce aux modèles d’IA, explique-t-il, les acteurs malveillants peuvent concevoir, configurer et dépanner leur infrastructure secrète. Cette méthode réduit la barrière technique pour les acteurs moins sophistiqués et accélère le déploiement d’infrastructures résilientes tout en minimisant le risque de détection.
« L’IA permet des outils plus adaptatifs et plus évasifs », a observé Vincenzo Iozzo, PDG et co-fondateur de SlashID, un fournisseur de détection et de réponse aux menaces d’identité à Chicago.
« Les logiciels malveillants générés par l’IA peuvent être polymorphes, réécrivant leur propre code pour échapper à la détection basée sur les signatures », a-t-il déclaré à TechNewsWorld. « L’IA permet également aux auteurs de menaces d’itérer rapidement sur les campagnes bloquées – en régénérant les charges utiles, en faisant pivoter l’infrastructure et en ajustant les leurres d’ingénierie sociale plus rapidement que les défenseurs ne peuvent réagir. »
L’IA améliore la résilience en raccourcissant le cycle de reconstruction pour les acteurs de la menace, a ajouté Krell de Suzu Labs. « Lorsqu’une charge utile, un leurre ou un composant d’infrastructure est détecté, les acteurs malveillants peuvent utiliser l’IA pour retravailler rapidement le code, actualiser le contenu de phishing, résoudre les problèmes de déploiement et réimplémenter des fonctionnalités à l’aide de différentes bibliothèques ou langages », a-t-il expliqué.
« Les emplacements de rappel de commandement et de contrôle tournent également plus fréquemment que ne le permettraient les opérations manuelles, ce qui réduit la fenêtre que les défenseurs doivent agir sur les indicateurs signalés », a-t-il ajouté.
Montée de l’IA agentique dans la cybercriminalité
Bien que l’IA générative représente actuellement la majeure partie de l’activité observée des acteurs de la menace impliquant l’IA, Microsoft a noté que ses chercheurs en matière de menaces commencent à percevoir les premiers signes d’une transition vers des utilisations plus agents de l’IA.
Pour les acteurs de la menace, ce changement pourrait représenter un changement significatif dans le métier en permettant des flux de travail semi-autonomes qui affinent en permanence les campagnes de phishing, testent et adaptent l’infrastructure, maintiennent la persistance ou surveillent les renseignements open source pour de nouvelles opportunités.
Microsoft n’a pas encore observé une utilisation à grande échelle de l’IA agentique par les acteurs de la menace, en grande partie en raison de la fiabilité actuelle et des contraintes opérationnelles, poursuit-il. Néanmoins, des exemples concrets et des expériences de validation de principe illustrent le potentiel de ces systèmes pour prendre en charge la reconnaissance automatisée, la gestion des infrastructures, le développement de logiciels malveillants et la prise de décision après compromission.
« Ce à quoi nous assistons aujourd’hui est une expérimentation précoce mais significative », a déclaré Krell. « L’IA agentique est utilisée pour prendre en charge les flux de travail qui impliquent la planification, l’évaluation de l’utilisation des outils et l’adaptation au fil du temps plutôt que des invites ponctuelles. »
« Microsoft a signalé que (l’acteur nord-coréen de la menace) Coral Sleet utilisait des outils d’IA agentique dans un flux de travail de bout en bout pour le développement de leurres, la fourniture d’infrastructures et les tests et déploiements rapides de charges utiles », a-t-il poursuivi. « L’utilisation à grande échelle est toujours limitée par la fiabilité et le risque opérationnel, mais la direction est claire. »
« L’IA ne remplace pas les acteurs de la menace », a-t-il ajouté. « Cela les rend plus efficaces. »
« L’impact le plus immédiat n’est pas des intrusions totalement autonomes, mais une recherche plus rapide, une adaptation plus rapide, une ingénierie sociale plus évolutive et une utilisation abusive plus durable de l’accès légitime », a-t-il déclaré. « L’accélération de l’IA ne suit pas un chemin linéaire. Les capacités s’accumulent, et les organisations qui considèrent encore cela comme un problème de phishing sous-estiment déjà le changement opérationnel en cours. »
