Le débat est passé de la possibilité au présent

Google affirme que la conversation sur la cybersécurité et l’intelligence artificielle est entrée dans une nouvelle phase. Selon un article du Guardian, le groupe de renseignement sur les menaces de l’entreprise a conclu que le piratage assisté par l’IA est passé d’un sujet naissant à une menace à l’échelle industrielle en seulement trois mois.

Cette alerte est importante parce qu’elle reformule un débat qui s’est souvent concentré sur ce que les modèles avancés pourraient permettre à l’avenir. Les analystes de Google soutiennent que le futur est déjà dépassé. Selon eux, des acteurs malveillants utilisent déjà des outils d’IA commerciaux pour améliorer la vitesse, l’échelle et la sophistication de campagnes réelles.

Cette distinction compte pour les défenseurs. Si l’IA n’était qu’une capacité imminente, les organisations pourraient la traiter comme un problème de planification. Si elle est déjà intégrée à des opérations actives, elle devient un problème opérationnel immédiat, qui affecte la gestion des vulnérabilités, la détection, la réponse aux incidents et la rapidité des correctifs défensifs.

Les modèles commerciaux font partie du paysage des menaces

The Guardian a rapporté que l’évaluation de Google a conclu que des groupes criminels et des acteurs liés à des États en Chine, en Corée du Nord et en Russie semblent utiliser des modèles commerciaux, notamment Gemini, Claude et des outils d’OpenAI, pour affiner et amplifier leurs attaques. Le rapport ne dit pas que ces entreprises facilitent intentionnellement un usage malveillant. Le point essentiel est que des systèmes largement accessibles et très performants font désormais partie de l’arsenal offensif.

John Hultquist, analyste des menaces chez Google, a déclaré qu’il existe une idée fausse selon laquelle une course aux vulnérabilités de l’IA est imminente alors qu’elle a en réalité déjà commencé. Il a dit que les acteurs malveillants utilisent l’IA pour améliorer leur persistance face aux cibles, tester leurs opérations, créer de meilleurs logiciels malveillants et obtenir d’autres gains incrémentaux.

Ces gains incrémentaux peuvent compter autant que les percées les plus spectaculaires. Les campagnes d’attaque réussissent souvent parce qu’elles deviennent moins coûteuses, plus rapides et plus faciles à répéter, et non parce que chaque opération est radicalement nouvelle. Si l’IA réduit les frictions dans la reconnaissance, l’amélioration des malwares, les variantes de phishing ou les tests d’exploitation, l’effet cumulatif peut être important même sans cyberoffensive entièrement autonome.

Le risque zéro-day s’inscrit dans une escalade plus large

The Guardian a replacé le rapport de Google dans un contexte plus large, comprenant des avertissements exceptionnellement forts émanant des sociétés d’IA elles-mêmes. Le mois dernier, Anthropic a renoncé à publier l’un de ses modèles les plus récents, Mythos, après avoir affirmé qu’il présentait de sérieux risques en cas de mauvaise utilisation. Anthropic a indiqué que le modèle avait identifié des vulnérabilités zero-day sur de grands systèmes d’exploitation et des navigateurs web, et qu’une action défensive coordonnée à l’échelle du secteur serait nécessaire.

Les conclusions de Google suggèrent que les défenseurs n’ont peut-être pas le luxe d’attendre des scénarios extraordinaires de modèles de pointe avant de s’adapter. Le rapport indique qu’un groupe criminel semblait récemment sur le point d’utiliser une vulnérabilité zero-day dans une campagne d’exploitation de masse, et qu’il semblait s’appuyer sur un modèle d’IA pour l’aider.

Cela ne signifie pas que l’IA a remplacé les opérateurs expérimentés. Cela signifie qu’elle peut les amplifier. Dans les opérations cyber, cette amplification est stratégiquement importante parce qu’elle change l’économie de l’attaque. Davantage de campagnes peuvent être menées en parallèle, les outils peuvent être améliorés plus vite et des participants moins qualifiés peuvent être capables d’exécuter des opérations plus avancées qu’auparavant.

Ce que les organisations devraient retenir de l’avertissement

Le message central du rapport de Google n’est pas que l’IA crée un univers de cybersécurité entièrement séparé. C’est que des menaces familières peuvent désormais évoluer plus vite. Le développement de malwares, la recherche d’exploits, l’adaptation des hameçonnages et la persistance d’intrusion deviennent tous plus dangereux lorsque l’assistance est peu coûteuse et largement disponible.

Pour les organisations, cela implique moins de tolérance pour les cycles de correctifs lents et une visibilité plus faible. Les équipes de sécurité devront peut-être supposer que les attaquants peuvent tester davantage de variantes, personnaliser les appâts plus rapidement et se remettre d’échecs avec moins d’effort qu’au cours des dernières années. L’enjeu concret est la résilience : réduire le temps de détection, diminuer la surface d’attaque exposée et renforcer les points faibles connus avant que les adversaires ne puissent les industrialiser davantage.

Le cadrage de Google met aussi davantage de pression sur l’industrie de l’IA elle-même. Les créateurs de modèles, les plateformes cloud et les fournisseurs de sécurité font de plus en plus partie du même écosystème, et la frontière entre progrès des capacités et risque en aval se resserre. Le dernier avertissement ne tranche pas la manière dont cet équilibre devrait être géré. Il rend en revanche plus difficile de nier une chose : le piratage assisté par l’IA n’est plus une discussion spéculative en marge. Selon l’un des plus grands acteurs de la sécurité au monde, c’est déjà un environnement de menace bien réel.

Cet article s’appuie sur un reportage du Guardian. Lire l’article original.

Originally published on theguardian.com