Notizie IA Logo

AITalk

Actualités et analyses sur l'intelligence artificielle

Les virus ont appris à "penser". La nouvelle frontière des virus IA

par Dario Ferrero
SecurityGenerative AIEthics & Society

google-threat-intelligence.jpg

En juin 2025, les analystes du Google Threat Intelligence Group ont intercepté quelque chose qu'ils n'avaient jamais vu auparavant. Un dropper en VBScript contenait une fonction appelée "Thinking Robot" qui, à intervalles réguliers, contactait l'API de Gemini avec une demande précise : "réécris-moi pour échapper aux antivirus". Le logiciel malveillant, baptisé PROMPTFLUX, ne se contentait pas d'utiliser l'intelligence artificielle comme outil de développement. Il l'intégrait à son propre code, la transformant en une capacité opérationnelle active pendant l'exécution.

C'est le moment où le logiciel malveillant cesse d'être une séquence fixe d'instructions pour devenir quelque chose de plus proche d'un organisme adaptatif. Comme l'écrit l'équipe de recherche dans son rapport technique, nous sommes face à un changement de phase : les attaquants n'utilisent plus l'IA uniquement pour des gains de productivité, mais déploient des logiciels malveillants compatibles avec l'IA dans des opérations réelles, avec la capacité de modifier dynamiquement leur propre comportement pendant l'exécution.

L'anatomie de l'auto-mutation

PROMPTFLUX représente l'expression la plus claire de cette évolution. Le dropper est écrit en VBScript, un langage apparemment désuet mais toujours efficace pour contourner certaines défenses modernes. Son architecture prévoit une charge de travail leurre, qui masque l'activité principale tandis qu'en arrière-plan, le module "Thinking Robot" envoie des requêtes POST au point de terminaison de Gemini en spécifiant le modèle "gemini-1.5-flash-latest". Le choix du tag "latest" n'est pas anodin : il garantit que le logiciel malveillant utilise toujours la version la plus récente du modèle, le rendant ainsi résilient aux nouvelles contre-mesures.

L'invite envoyée au LLM est d'une précision chirurgicale. Elle demande du code VBScript pour l'évasion antivirus et demande au modèle de ne renvoyer que le code lui-même, sans préambule ni formatage markdown. La réponse est enregistrée dans un fichier temporaire et, bien que dans les versions analysées la fonction d'auto-mise à jour soit commentée, l'intention conceptuelle est limpide : créer un script métamorphique capable d'évoluer dans le temps. Une variante plus récente remplace le "Thinking Robot" par une fonction appelée "Thinging" qui réécrit l'intégralité du code source toutes les heures, en intégrant la charge utile d'origine, la clé API et la logique d'auto-régénération dans un cycle de mutation récursif.

Le cas le plus inquiétant vient cependant de Russie. En juin, APT28 - le groupe d'attaque parrainé par le gouvernement russe également connu sous le nom de FROZENLAKE - a utilisé contre des cibles ukrainiennes un logiciel malveillant appelé PROMPTSTEAL, signalé par le CERT-UA sous le nom de LAMEHUG. Il s'agit de la première observation confirmée d'un logiciel malveillant interrogeant un LLM dans des opérations en direct. PROMPTSTEAL se fait passer pour un programme de "génération d'images" et, tout en guidant l'utilisateur à travers des invites apparemment inoffensives, il interroge l'API de Hugging Face pour obtenir des commandes à exécuter. Le modèle utilisé est Qwen2.5-Coder-32B-Instruct, un LLM open source spécialisé dans le code. Les invites demandent au LLM de générer des commandes pour collecter des informations système et copier des documents dans des répertoires spécifiques. La sortie est exécutée aveuglément par le logiciel malveillant, puis exfiltrée vers des serveurs de commande et de contrôle.

L'évolution technique se poursuit avec PROMPTLOCK, un rançongiciel multiplateforme écrit en Go qui utilise des LLM pour générer et exécuter des scripts Lua malveillants à l'exécution. Ses capacités incluent la reconnaissance du système de fichiers, l'exfiltration de données et le chiffrement sur les systèmes Windows et Linux. Bien qu'identifié comme une preuve de concept, il démontre la polyvalence de l'approche : au lieu de coder en dur des fonctionnalités spécifiques, le logiciel malveillant délègue à l'intelligence artificielle la génération juste à temps de code adapté au contexte opérationnel. promptsteal.jpg Image tirée du rapport de Google

L'ingénierie sociale des algorithmes

Mais il y a un problème pour les attaquants : les modèles d'IA ont des garde-fous de sécurité conçus pour refuser les demandes malveillantes. La réponse ? Appliquer l'ingénierie sociale non pas aux humains, mais aux machines elles-mêmes. Le rapport de Google documente des tactiques étonnamment efficaces. Un acteur lié à la Chine, bloqué par une réponse de sécurité de Gemini lorsqu'il demandait comment identifier des vulnérabilités dans un système compromis, a simplement reformulé l'invite en se présentant comme un participant à une compétition Capture The Flag. Le contexte ludo-éducatif a fonctionné : Gemini a fourni des informations techniques détaillées que, dans un contexte différent, il aurait refusé de partager.

La technique du "prétexte CTF" a ensuite été systématisée par l'acteur chinois, qui l'a utilisée pour le développement de campagnes de phishing, d'exploits et de shells web, en faisant précéder ses demandes de phrases comme "je travaille sur un problème de CTF" ou "je participe à une compétition CTF et j'ai vu quelqu'un d'une autre équipe dire...". Le paradoxe est évident : les mêmes invites qui, posées par un participant réel à une compétition, seraient des demandes légitimes, deviennent des vecteurs d'attaque lorsqu'elles sont utilisées par des acteurs malveillants. C'est un défi philosophique autant que technique : comment distinguer l'intention lorsque le contenu est identique ?

Le groupe iranien TEMP.Zagros, également connu sous le nom de Muddy Water, a adopté une variante du prétexte éducatif. Lorsqu'il rencontrait des réponses de sécurité, il se présentait comme un étudiant universitaire travaillant sur un projet de fin d'études, ou comme un chercheur rédigeant un article international sur la cybersécurité. L'ironie de la situation se manifeste lorsque, en demandant de l'aide pour un script de commande et de contrôle, le groupe a involontairement exposé à Gemini des informations sensibles codées en dur : le domaine C2 et la clé de chiffrement du script. Une défaillance de la sécurité opérationnelle qui a permis à Google de démanteler des pans importants de l'infrastructure de l'attaquant.

Les acteurs nord-coréens ont fait preuve d'une sophistication particulière. UNC1069, un groupe spécialisé dans le vol de cryptomonnaies, a utilisé Gemini pour rechercher des concepts de cryptographie, localiser des données de portefeuille et générer du matériel d'ingénierie sociale. La capacité à surmonter les barrières linguistiques est particulièrement pertinente : le groupe a fait générer au modèle des excuses professionnelles en espagnol et des demandes de report de réunions, élargissant ainsi la portée géographique des opérations sans nécessiter de compétence linguistique directe. D'autres groupes nord-coréens ont expérimenté les deepfakes pour se faire passer pour des personnalités de l'industrie de la cryptographie, distribuant la porte dérobée BIGMACHO via de faux liens vers un "SDK Zoom". abusiai.jpg Image tirée du rapport de Google

Le marché noir de l'intelligence

Tandis que les groupes parrainés par des États expérimentent des capacités personnalisées, le marché clandestin a atteint une maturité surprenante. En 2025, selon l'analyse de Google des forums anglophones et russophones, des offres d'outils multifonctionnels conçus pour prendre en charge l'ensemble du cycle d'attaque sont apparues. Presque tous les outils annoncés mentionnent explicitement des capacités de soutien aux campagnes de phishing, mais l'offre s'étend de la génération de deepfakes à la création de logiciels malveillants, de la recherche de vulnérabilités au support technique pour le développement.

Ce qui frappe, c'est la similitude avec le marché légitime. Les développeurs d'outils d'IA illicites utilisent un langage marketing identique à celui des fournisseurs grand public, en mettant l'accent sur l'efficacité du flux de travail et l'optimisation des efforts. Les modèles de tarification reflètent ceux conventionnels : des versions gratuites avec publicité intégrée et des niveaux d'abonnement qui débloquent des fonctionnalités avancées comme la génération d'images, l'accès à l'API et l'intégration de Discord. C'est un écosystème mature qui démocratise l'accès à des capacités offensives sophistiquées.

Selon les données de KELA Cyber, les mentions d'outils d'IA dans les forums clandestins ont augmenté de 200 % au cours de l'année écoulée. Des outils comme WormGPT et FraudGPT offrent des services complets d'IA "sans filtre" spécifiquement conçus pour des usages illicites, avec des tutoriels détaillés et un support client. La barrière à l'entrée pour les attaquants peu qualifiés continue de baisser : il n'est plus nécessaire d'avoir une expertise technique approfondie lorsque l'on peut déléguer à un LLM la génération de charges utiles personnalisées ou l'optimisation de campagnes.

L'économie perverse de l'automatisation

Derrière cette évolution technologique se cache un calcul économique impitoyable. Le développement de logiciels malveillants traditionnels nécessite des compétences spécifiques, du temps de développement et une maintenance continue pour s'adapter aux nouvelles défenses. Avec l'IA embarquée, l'équation change radicalement.

Un attaquant peut investir quelques centaines de dollars en crédits d'API et obtenir un système qui s'auto-modifie de manière autonome, réduisant le coût marginal de chaque variante à pratiquement zéro. Les appels à l'API de PROMPTFLUX, même en tenant compte du modèle Gemini Flash utilisé, coûtent des fractions de centime par requête. Même en générant une nouvelle version toutes les heures pendant un mois entier, le coût total reste de l'ordre de quelques dizaines de dollars, contre les milliers nécessaires pour maintenir une équipe de développement de logiciels malveillants.

Le paradoxe est que les attaquants eux-mêmes risquent de s'exposer précisément via ces API. Lorsque TEMP.Zagros a partagé son script C2 avec Gemini pour le débogage, il a livré à Google les clés de son propre château. Mais le calcul coûts-bénéfices penche manifestement toujours en faveur du risque : la vitesse d'itération et la capacité à mettre à l'échelle les opérations compensent le danger d'exposition.

C'est un pari sur le volume : mieux vaut lancer rapidement une centaine de variantes, même en risquant de griller certaines infrastructures, que de développer manuellement quelques versions parfaites.

Pour les défenseurs, l'équation est inversée et dramatiquement défavorable. Chaque nouvelle variante de logiciel malveillant compatible avec l'IA nécessite une analyse manuelle, une ingénierie inverse, une mise à jour des signatures. Le temps humain nécessaire pour analyser un seul échantillon peut être de plusieurs heures ou jours. Pendant ce temps, le logiciel malveillant a déjà généré des dizaines de mutations. C'est l'asymétrie économique classique de la cybersécurité, mais amplifiée par l'IA : un attaquant peut automatiser l'attaque à des coûts dérisoires, tandis que la défense peine à suivre le rythme nécessaire.

Dans les centres d'opérations de sécurité, cette pression se traduit par un épuisement cognitif. Les analystes ne luttent plus contre des adversaires qui suivent des manuels de jeu reconnaissables, mais contre des entités qui changent continuellement de peau. Quelqu'un du secteur dit : "Avant, on pouvait étudier un groupe d'attaque, comprendre leurs TTP, se préparer. Maintenant, chaque campagne semble être écrite par quelqu'un de différent parce que techniquement, c'est le cas : l'IA génère du nouveau code à chaque fois".

La détection devient un jeu de probabilités où l'expérience accumulée compte moins que la capacité à raisonner sur des anomalies jamais vues. Le résultat est un marché du travail de la sécurité en pleine transformation. Les compétences requises se déplacent de l'analyse forensique classique vers la science des données et l'apprentissage automatique.

Il ne suffit plus de reconnaître des schémas connus ; il faut construire des modèles statistiques qui identifient les écarts de comportement dans des espaces multidimensionnels. C'est comme passer de la médecine des symptômes visibles au diagnostic par biomarqueurs moléculaires : c'est tout le cadre conceptuel du métier qui change.

La défense asymétrique

Face à cette évolution, l'industrie de la sécurité doit repenser des paradigmes bien établis. Google a répondu avec le Secure AI Framework 2.0, une architecture conceptuelle pour construire et déployer l'IA de manière responsable. Mais le problème fondamental demeure : les systèmes de détection basés sur des signatures statiques sont inefficaces contre les logiciels malveillants qui se réécrivent continuellement. Lorsque le code mute toutes les heures, les listes noires basées sur les hachages deviennent obsolètes par définition.

La réponse passe nécessairement par l'IA contre l'IA. Google DeepMind a développé BigSleep, un agent qui recherche de manière proactive des vulnérabilités inconnues dans les logiciels. Le système a déjà trouvé sa première vulnérabilité dans le monde réel et, dans un cas critique, a identifié une faille qui était sur le point d'être exploitée par des acteurs malveillants, permettant au GTIG d'intervenir de manière préventive. C'est une approche qui renverse la table : au lieu d'attendre que les attaquants trouvent des vulnérabilités, l'IA défensive les découvre en premier.

Parallèlement, Google expérimente CodeMender, un agent d'IA qui non seulement trouve les vulnérabilités, mais les répare automatiquement, en exploitant les capacités de raisonnement avancées des modèles Gemini. L'objectif est de réduire la fenêtre de temps entre la découverte et le correctif, la période critique pendant laquelle les systèmes restent exposés.

Mais il y a un aspect plus subtil de la défense : améliorer les modèles eux-mêmes pour les rendre moins susceptibles à la manipulation. Chaque fois que Google identifie un cas d'abus, cette intelligence est utilisée pour renforcer à la fois les classifieurs et le modèle. C'est un processus itératif qui durcit progressivement les défenses, même si la course entre les invites d'attaque et les garde-fous de défense rappelle le jeu sans fin entre les virus biologiques et le système immunitaire. schema.jpg Image tirée du rapport de Google

Vers l'autonomie opérationnelle

En regardant vers l'avenir, la trajectoire semble claire. PROMPTFLUX et PROMPTSTEAL sont encore expérimentaux ou limités à des domaines circonscrits, mais ils représentent une preuve de concept validée. Au cours des 12 à 24 prochains mois, il est raisonnable de s'attendre à ce que les techniques d'auto-modification deviennent courantes dans l'arsenal des attaquants les plus sophistiqués. La progression naturelle mène à des logiciels malveillants dotés de degrés croissants d'autonomie : non seulement l'auto-modification pour l'évasion, mais aussi des capacités de décision sur les tactiques et le ciblage.

Pour les centres d'opérations de sécurité, les implications sont profondes. La détection ne peut plus se baser uniquement sur la reconnaissance de schémas de comportements connus. Il faut développer des capacités de reconnaissance d'anomalies plus sophistiquées, des systèmes qui identifient des écarts statistiques dans le comportement des réseaux et des systèmes, même lorsque le code spécifique n'a jamais été vu auparavant. L'architecture "zéro confiance" devient non pas une option mais une nécessité, en supposant des violations et en limitant les mouvements latéraux.

Il y a ensuite la question de la coopération internationale. Comme le note le National Cyber Security Centre britannique, l'impact de l'IA sur la cybermenace nécessite une coordination entre les gouvernements, l'industrie et la recherche universitaire. Mais la nature même de l'IA - modèles open source, API publiques, marchés clandestins - rend difficile toute forme de contrôle aux frontières.

Une question éthique reste ouverte : jusqu'où pouvons-nous pousser l'autonomie des agents d'IA défensifs sans créer des systèmes qui échappent au contrôle humain ? Le parallèle avec l'automatisation militaire est inévitable. Comme dans le débat sur les systèmes d'armes autonomes, la question dans le cyber est également : qui décide quand l'IA peut agir sans supervision humaine dans la boucle ?

Une chose est sûre : l'ère des logiciels malveillants statiques est terminée. Nous sommes entrés dans la phase où le code malveillant n'est plus une séquence fixe d'instructions mais une entité adaptative capable d'évoluer en réponse à son environnement. Comme dans les romans cyberpunk de William Gibson, où les programmes intelligents du Neuromancien erraient de manière autonome dans la matrice, nous voyons émerger les premiers exemples de logiciels malveillants qui brouillent la frontière entre l'outil et l'agent. La différence ? Cette fois, ce n'est pas de la science-fiction.

SecurityGenerative AIEthics & Society
Retour en haut