Cybercriminalité alimentée par l’IA : comment les hackers peuvent détourner l’ensemble de votre domaine en 30 minutes ou moins

Imaginez-vous en train de vous connecter au réseau de votre entreprise, pour découvrir qu’un adversaire dopé à l’IA a pris le contrôle de tout - avant même que votre équipe de sécurité n’ait fini son café du matin. Ce n’est pas une prévision dystopique. En 2025, l’intelligence artificielle militarisée réécrit les règles de la cybercriminalité, permettant aux acteurs malveillants de passer d’un accès initial à une domination totale du domaine en moins d’une demi-heure, selon de nouveaux renseignements de CrowdStrike.

Les entreprises adoptent l’IA pour rationaliser leurs opérations, mais les adversaires inversent la tendance - utilisant la même technologie pour traverser les couches de sécurité à la vitesse de la machine. Les acteurs de la menace modernes exploitent désormais les grands modèles de langage (LLM) et l’IA générative pour automatiser chaque étape de la chaîne d’attaque : des hameçonnages aux scripts post-exploitation qui récoltent les identifiants, énumèrent les contrôleurs de domaine et exfiltrent des données sensibles.

En 2025, CrowdStrike a observé une hausse stupéfiante de 563 % des attaques utilisant de faux leurres CAPTCHA, ainsi qu’une recrudescence des arnaques de fausses mises à jour de navigateur. Les attaquants ne visent pas seulement les plus grandes entreprises - des groupes eCrime de taille moyenne comme PUNK SPIDER ont utilisé des outils d’IA tels que Gemini et DeepSeek pour automatiser le vol d’identifiants et l’évasion forensique, des tâches autrefois réservées aux équipes rouges de haut niveau.

Le saut technologique est frappant : des malwares comme LAMEHUG invoquent des modèles d’IA via des API pour générer à la volée des commandes en une ligne, externalisant la logique de reconnaissance et de mouvement latéral. Dans certains cas, les attaquants détournent même les outils d’IA locaux des victimes - comme Claude ou Gemini - en y injectant du code malveillant qui ordonne à ces modèles de générer des commandes pour voler des identifiants d’authentification ou de la cryptomonnaie.

Les acteurs étatiques s’y mettent aussi. FANCY BEAR, lié à la Russie, aurait utilisé LAMEHUG contre des réseaux gouvernementaux ukrainiens, automatisant la collecte de fichiers et la cartographie de domaine grâce à des instructions IA intégrées. Parallèlement, PRESSURE CHOLLIMA a réalisé le plus grand vol de crypto de l’histoire en exploitant une chaîne d’approvisionnement de gestion d’actifs numériques - là encore, en s’appuyant sur l’IA pour accélérer l’attaque.

L’élément décisif ? La vitesse. Avec l’IA qui enchaîne abus d’identifiants, compromission des sauvegardes et élévation de privilèges, les attaquants peuvent obtenir un accès complet au domaine en moins de temps qu’il n’en faut pour traiter une alerte. Les données de CrowdStrike montrent que près de 35 % des incidents cloud ont commencé par l’abus de comptes valides plutôt que par des logiciels malveillants, soulignant la discrétion et la sophistication de ces nouvelles menaces alimentées par l’IA.

Alors que les adversaires dopés à l’IA réduisent les délais d’attaque à quelques minutes, la pression monte pour que les défenseurs égalent cette vélocité. Les approches traditionnelles de détection et de réponse ne suffisent plus. Sans télémétrie en temps réel, sécurité robuste des identités et confinement automatisé, les organisations risquent de voir leurs joyaux numériques leur échapper - avant même de réaliser qu’une intrusion a commencé.

WIKICROOK

• Breakout Time : Le “breakout time” est la période entre le premier accès d’un attaquant et son premier mouvement latéral vers des actifs critiques au sein d’un réseau.
• Mouvement latéral : Le mouvement latéral désigne le fait que les attaquants, après avoir pénétré un réseau, se déplacent latéralement pour accéder à d’autres systèmes ou données sensibles, élargissant ainsi leur contrôle.
• Contrôleur de domaine : Un contrôleur de domaine est un serveur central dans les réseaux Windows qui gère l’authentification des utilisateurs, les politiques de sécurité et l’accès aux ressources réseau.
• Credential Dumping : Le credential dumping consiste à voler des noms d’utilisateur et des mots de passe depuis la mémoire d’un système afin d’obtenir un accès non autorisé à des comptes ou réseaux.
• LLM (Large Language Model) : Un Large Language Model (LLM) est une IA avancée entraînée sur d’énormes ensembles de textes pour générer un langage humain et comprendre des requêtes complexes.