L'IA a-t-elle rendu les cybercriminels plus dangereux en un an ?

Entre mars 2025 et mars 2026, les attaques informatiques ont pris un tournant radical. L'intelligence artificielle, autrefois cantonnée à des tâches simples, s'est immiscée dans presque tous les aspects des cybermenaces. Mais comment les pirates l'utilisent-ils exactement ? Et surtout, comment les experts en cybersécurité peuvent-ils s'adapter à cette nouvelle réalité ?

UNE CARTE DES TECHNIQUES DE PIRATAGE RÉVÉLATRICE

Pour comprendre cette évolution, une équipe a analysé 832 comptes piratés entre mars 2025 et mars 2026. Chaque attaque a été cartographiée selon la base de données MITRE ATT&CK, un catalogue mondial des tactiques et techniques utilisées par les pirates informatiques. Ces 832 cas ne représentent qu'une partie des comptes bannis pendant cette période, mais ils offrent suffisamment de détails pour dresser un portrait précis des méthodes employées.

L'IA, UNE ARME POUR ÉCRIRE DES MALWARES

Parmi les 832 comptes étudiés, 67,3 % des pirates ont utilisé l'IA pour écrire des malwares (logiciels malveillants). Ce chiffre montre à quel point l'intelligence artificielle est devenue un allié indispensable pour créer des Outils de piratage. Mais ce n'est pas tout : 6,5 % des acteurs ont également utilisé l'IA pour des tâches plus complexes, comme le mouvement latéral. Cette technique consiste à se déplacer profondément à l'intérieur d'un réseau compromis, comme un voleur qui explore une maison après y être entré.

LE NIVEAU DE MENACE DES PIRATES A DOUBLÉ EN 6 MOIS

L'étude révèle une progression inquiétante du niveau de menace posé par les pirates. Dans les six premiers mois de l'analyse, 33 % des acteurs étaient classés comme présentant un risque moyen ou élevé par le système de notation des risques. Six mois plus tard, ce chiffre avait grimpé à 56 %, soit une augmentation de près de 1,7 fois. L'IA semble donc jouer un rôle clé dans cette escalade.

DE L'ACCÈS INITIAL À L'EXPLOITATION PROFONDE

Pendant la période étudiée, les pirates ont modifié leur approche. Au début, ils utilisaient principalement l'IA pour obtenir un premier accès à un système. Mais avec le temps, l'IA est devenue un outil pour agir après la compromission. Par exemple, l'utilisation de l'IA pour découvrir des comptes valides dans un réseau piraté a augmenté de 8,9 %, tandis que les attaques par phishing assisté par IA ont diminué de 8,6 %. Cela suggère que les pirates appliquent désormais l'IA plus profondément dans le cycle de vie d'une attaque.

LES INDICATEURS TRADITIONNELS NE SUFFISENT PLUS

Pour évaluer le niveau de menace d'un pirate, les équipes de sécurité se basaient traditionnellement sur des critères comme le nombre de techniques utilisées ou les outils employés. Pourtant, cette analyse montre que ces signaux ne reflètent plus la réalité. L'IA peut désormais accomplir des tâches techniques à la place des pirates, ce qui réduit la corrélation entre leur compétence et le nombre de techniques utilisées.

Dans les données recueillies, les pirates les moins expérimentés utilisaient en moyenne 16 techniques distinctes, tandis que les plus expérimentés en employaient environ 20. De même, la plateforme utilisée (comme Claude Code, une API ou une interface de chat) ne permettait pas de prédire le niveau de risque d'un acteur.

OÙ L'IA FAIT LA DIFFÉRENCE : DANS LES TECHNIQUES OPÉRATIONNELLES

Ce qui distingue souvent les pirates les plus dangereux, c'est l'endroit où ils appliquent l'IA. Les acteurs à haut risque concentrent leur utilisation de l'IA sur des techniques exigeant beaucoup de temps, de supervision ou de prise de décision en temps réel. Parmi ces techniques, on trouve la découverte de comptes, le mouvement latéral et l'escalade de privilèges. Ces pirates ne se contentent plus d'utiliser l'IA pour accéder à un système : ils l'exploitent pour y agir en profondeur.

Mais même ce signal est en train de s'effriter. Comme le montrent les sections précédentes, ces techniques opérationnelles deviennent de plus en plus courantes parmi l'ensemble des pirates, y compris ceux classés comme à haut risque. Le véritable indicateur qui persiste est la manière dont les pirates construisent leur architecture autour du modèle d'IA. Les acteurs les plus dangereux conçoivent des systèmes permettant aux modèles de chaîner plusieurs étapes d'une cyberattaque et de les exécuter avec une intervention humaine minimale.

L'IA AGIT COMME UN AGENT AUTONOME

Certains comportements distinguent les pirates les plus dangereux : l'utilisation de l'IA pour orchestrer des étapes d'une attaque en séquence, prendre des décisions en temps réel sur la suite à donner, et exécuter des actions sans intervention humaine. Pourtant, ces comportements ne sont pas encore inclus dans le cadre MITRE ATT&CK. Par exemple, dans une attaque analysée, le modèle d'IA a agi comme un agent autonome : il a exécuté des commandes, exploité des vulnérabilités, volé des identifiants et pris des décisions tactiques. L'intervention humaine n'était requise qu'à quelques moments clés.

DES MESURES DE SÉCURITÉ POUR LIMIER LES DANGERS

Les résultats de cette analyse ont inspiré le développement de nouvelles mesures de sécurité. Par exemple, des safeguards (protections) ont été intégrés aux modèles les plus puissants pour détecter et bloquer des activités comme le développement de malwares ou l'exfiltration massive de données. Cette initiative s'inscrit dans la continuité du travail mené avec Verizon, mais aussi dans des discussions avec MITRE pour faire évoluer le cadre MITRE ATT&CK et y inclure les comportements assistés par IA observés.

L'IA, UN OUTIL QUI CHANGE LA DONNE POUR LES DEUX CAMP

Les modèles d'IA avancés, dits frontier models, transforment rapidement les outils à la disposition des pirates comme des défenseurs. L'objectif est clair : aider les équipes de sécurité à anticiper ces tactiques évolutives et à mettre entre leurs mains les outils les plus puissants en premier. Les apprentissages tirés du Project Glasswing, ainsi que des ensembles de données comme celui recueilli ici, continuent d'alimenter les efforts en cybersécurité.

Une visualisation interactive des techniques utilisées par les pirates est également disponible dans un article du blog Red. Elle permet aux défenseurs de mieux comprendre et de rester en avance sur les menaces assistées par IA.

LES TECHNIQUES TRADITIONNELLES DE PIRATAGE EN DECLIN

L'étude montre que certaines techniques de piratage, autrefois très répandues, sont désormais moins utilisées. Par exemple, les attaques par phishing assisté par IA ont reculé de 8,6 %, tandis que la découverte de comptes à l'aide de l'IA a progressé de 8,9 %. Cette évolution illustre un changement de stratégie : les pirates se concentrent désormais sur des actions plus discrètes et plus difficiles à détecter une fois le système compromis.

L'IA REND LES PIRATES PLUS EFFICACES, MÊME LES MOINS EXPÉRIMENTÉS

Avant l'arrivée de l'IA, les techniques post-compromission étaient réservées à des pirates très expérimentés. Aujourd'hui, l'intelligence artificielle permet même à des acteurs moins sophistiqués de réaliser des tâches autrefois complexes. Cela signifie que le paysage des cybermenaces s'élargit : des pirates moins qualifiés peuvent désormais causer des dégâts importants, simplement en utilisant des outils basés sur l'IA.

L'AVENIR DES CADRES DE RÉFÉRENCE EN CYBERSÉCURITÉ

Les comportements autonomes des pirates, comme l'utilisation de l'IA pour orchestrer des attaques en chaîne, ne sont pas encore intégrés dans les cadres de référence existants, comme MITRE ATT&CK. Pourtant, ces méthodes sont appelées à se généraliser avec l'amélioration des agents d'IA. Les discussions sont en cours pour faire évoluer ces cadres et y inclure ces nouvelles menaces. L'objectif est de permettre aux défenseurs de mieux anticiper et de mieux se protéger contre ces attaques de plus en plus sophistiquées.

UNE COURSE CONTRE LA MONTRE POUR LES DÉFENSEURS

Face à cette évolution rapide, les équipes de sécurité doivent s'adapter en temps réel. Les modèles d'IA avancés offrent des opportunités pour renforcer les défenses, mais ils représentent aussi un risque si les pirates les utilisent en premier. La priorité est claire : mettre les outils les plus puissants entre les mains des défenseurs avant qu'ils ne tombent entre de mauvaises mains. Les leçons tirées de cette étude et d'autres projets comme Project Glasswing sont essentielles pour rester en avance sur les cybermenaces de demain.