Un nouveau rapport du Google Threat Intelligence Group (GTIG), l’équipe de cette multinationale chargée de fournir des informations sur les cybermenaces à d’autres entreprises, avertit que les cybercriminels utilisent non seulement des plateformes d’intelligence artificielle (IA) pour augmenter le nombre d’attaques, mais qu’ils évoluent également constamment pour intégrer cette technologie dans leurs opérations frauduleuses, comme les cyberarnaques.
Le rapport confirme que les criminels utilisent un nouveau type de malware avec IA intégrée, ce qui le rend plus dynamique et capable de générer un plus grand risque tant pour les utilisateurs que pour les entreprises.
Google cite la Chine, la Russie, l’Iran et la Corée du Nord comme pays où l’IA est utilisée à des fins d’espionnage, de phishing et de développement de logiciels malveillants.
L’étude note également que certains cybercriminels et pirates informatiques agissent avec le soutien du gouvernement. En particulier, des groupes de Chine, de Corée du Nord, de Russie et d’Iran tenteraient d’utiliser l’IA pour exécuter des logiciels malveillants, développer des invites d’ingénierie sociale pour les escroqueries et commercialiser des outils d’intelligence artificielle conçus pour confondre les victimes de ces attaques.
Pour la première fois, le Google Threat Intelligence Group a identifié un programme malveillant qui utilise les capacités de l’IA lors de son exécution pour modifier son comportement. Bien qu’il s’agisse encore d’une technique expérimentale, les chercheurs soulignent qu’elle constitue un « indicateur précoce » de la direction dans laquelle évoluent les menaces et de la manière dont les capacités de l’IA pourraient être intégrées dans les futures activités d’intrusion. En ce sens, ils rappellent qu’en 2024 les outils d’IA étaient principalement utilisés à des fins de support technique, alors qu’aujourd’hui ils sont directement intégrés aux cyberattaques.
Le géant de la technologie prédit que le risque de cyberattaques « augmentera en 2026, car des acteurs malveillants profiteront de techniques avancées pour contourner les mesures de sécurité ».
Plus précisément, le rapport indique que, pour la première fois, les criminels utilisent l’IA à la demande au sein de logiciels malveillants. Cela leur permet de confondre l’utilisateur en temps réel et de réagir en fonction de ses tentatives pour éviter l’attaque. « Ces outils sont capables de générer dynamiquement des scripts malveillants, de masquer leur propre code pour échapper à la détection et d’utiliser des modèles d’IA pour créer des fonctions malveillantes à la demande, au lieu de les inclure directement dans le code du malware. Cette tendance, encore naissante, représente une étape significative vers des malwares plus autonomes et adaptatifs », note Google.
De plus, les criminels utilisent des techniques d’ingénierie sociale, comme se faire passer pour des étudiants ou des chercheurs en cybersécurité, afin de tromper Gemini, l’IA de Google, et d’obtenir des informations qui seraient bloquées dans des circonstances normales, mais dont ils prétendent avoir besoin pour développer certains outils.
Marché noir de l’IA
Le rapport note également qu’au cours de l’année écoulée, le marché noir des outils d’IA illicites a gagné en maturité. De multiples offres d’outils multifonctionnels conçus pour faciliter les activités de phishing, le développement de logiciels malveillants et la recherche de vulnérabilités ont été identifiées. « Ces outils réduisent les barrières à l’entrée pour les agents moins sophistiqués », prévient Google.
De même, l’entreprise souligne que les pirates informatiques soutenus par des gouvernements comme ceux de la Corée du Nord, de l’Iran et de la Chine continuent d’utiliser Gemini à mauvais escient pour améliorer toutes les phases de leurs opérations : depuis les activités de reconnaissance ou la création de pots de miel de phishing, jusqu’au développement de systèmes de commandement et de contrôle et à l’exfiltration de données.
Le marché noir de l’intelligence artificielle se développe : des outils illicites pour les hackers
Billy Leonard, responsable technique du GTIG, explique que « bien que les adversaires tentent d’utiliser des plates-formes d’IA conventionnelles, les barrières de sécurité ont conduit de nombreuses personnes à se tourner vers des modèles disponibles sur le marché noir.
Google renforce la sécurité de ses modèles d’IA contre les utilisations abusives par les cybercriminels
Le rapport rappelle que Google reste déterminé à développer l’IA de manière responsable et adopte des mesures préventives pour empêcher son utilisation malveillante. Elle annule ainsi les comptes et les projets associés à des agents malveillants, améliore continuellement ses modèles pour rendre plus difficile leur utilisation abusive et diffuse activement les meilleures pratiques du secteur. Son objectif est de renforcer la sécurité dans l’ensemble de l’écosystème et de promouvoir des protections plus solides. De plus, l’entreprise utilise sa propre IA pour renforcer ses classificateurs et modèles afin qu’ils soient mieux protégés contre toute utilisation illicite à l’avenir.
Prévisions mondiales sur les menaces et la cybersécurité
D’autre part, Google a également publié cette semaine ses prévisions de cybersécurité pour 2026, axées sur l’utilisation de l’intelligence artificielle par les adversaires et les défenseurs, la cybercriminalité en tant que menace mondiale la plus perturbatrice et les opérations continues des acteurs étatiques pour atteindre leurs objectifs stratégiques.
En ce qui concerne l’IA, le rapport souligne qu’« elle passera du statut d’outil expérimental à celui d’être standardisé et généralisé, augmentant ainsi la vitesse, la portée et l’efficacité des opérations ». Il prévient également que le risque « augmentera en 2026, à mesure que les acteurs malveillants profiteront de techniques avancées pour contourner les mesures de sécurité ». De même, il prévoit une augmentation du vishing avec le clonage vocal utilisant l’IA, dans le but d’accéder aux données personnelles et d’entreprise.
Le rapport ajoute que les ransomwares, le détournement de données et l’extorsion multiforme combinée continueront d’être les catégories de cybercriminalité les plus dommageables financièrement, et que les incidents pourraient se propager aux milieux industriels.
D’un point de vue géopolitique, Google identifie la Russie, la Chine, l’Iran et la Corée du Nord comme les menaces les plus importantes et en constante évolution, motivées par différents intérêts stratégiques et par diverses cybertactiques. Dans ce cadre, il souligne que la Russie se concentrera sur le développement de ses cybercapacités, la collecte de renseignements et les opérations de désinformation ; La Chine poursuivra le cyberespionnage furtif et l’exploitation des vulnérabilités des périphériques et des fournisseurs tiers ; L’Iran, motivé par la stabilité du régime et son influence régionale, poursuivra ses opérations d’espionnage, de perturbation et d’information ; et la Corée du Nord continuera à promouvoir les opérations financières visant à générer des revenus, le cyberespionnage contre les adversaires et l’expansion de ses activités liées aux travailleurs du secteur technologique.
Abonnez-vous pour continuer la lecture