Le monde de la cybersécurité est souvent préoccupé par un scénario « apocalyptique » : une IA avancée et autonome capable de contourner n’importe quel pare-feu comme une superpuissance numérique. Cependant, une enquête récente révèle une menace bien plus immédiate et pratique. Plutôt que de créer des « super-hackers », l’IA générative agit comme un multiplicateur de force pour les criminels médiocres et non qualifiés, leur permettant d’exécuter des opérations à grande échelle très rentables.
Un récent rapport de la société de cybersécurité Expel a découvert un groupe parrainé par l’État nord-coréen, surnommé « HexagonalRodent », qui a utilisé des outils commerciaux d’IA pour voler environ 12 millions de dollars de crypto-monnaie en seulement trois mois.
La campagne “Vibe Coding”
L’opération HexagonalRodent n’a pas été définie par son génie technique, mais par son utilisation intelligente d’outils d’IA facilement disponibles auprès de sociétés comme OpenAI, Cursor et Anima. Le groupe a ciblé un créneau spécifique : les développeurs travaillant sur des projets Web3, NFT et crypto-monnaie à petite échelle.
Les pirates ont utilisé une tactique sophistiquée d’ingénierie sociale :
1. Faux recrutement : Ils ont utilisé des outils de conception de sites Web d’IA pour créer des sites Web d’aspect professionnel pour des entreprises technologiques frauduleuses.
2. Phishing via « Tests » : Ils ont attiré les victimes avec de fausses offres d’emploi, leur demandant finalement d’effectuer une « mission de codage ».
3. Injection de logiciels malveillants : Ces missions ont été infectées par un logiciel malveillant de vol d’informations d’identification conçu pour détourner les portefeuilles cryptographiques.
“Ces opérateurs n’ont pas les compétences nécessaires pour écrire du code… L’IA leur permet en réalité de faire des choses qu’ils ne seraient tout simplement pas capables de faire autrement”, explique Marcus Hutchins, le chercheur en sécurité qui a découvert le groupe.
Empreintes digitales : Emojis et anglais
Malgré leur succès, les pirates ont laissé derrière eux des indices indubitables selon lesquels leur travail était généré par l’IA. Les chercheurs en sécurité ont noté plusieurs « tells » dans le malware :
– Emoji-Littered Code : Le logiciel malveillant contenait une utilisation fréquente d’émojis, une bizarrerie courante des grands modèles linguistiques (LLM) que les programmeurs professionnels utilisent rarement dans le codage manuel.
– Annotations inhabituelles : Le code était fortement annoté avec des commentaires en anglais, ce qui est atypique pour les opérateurs nord-coréens mais standard pour les sorties générées par l’IA.
– Modèles standards : Alors que les logiciels malveillants suivaient des modèles prévisibles que les outils de sécurité modernes devraient détecter, les pirates ont réussi à échapper à l’attention en ciblant des développeurs individuels qui ne disposaient pas d’un logiciel de « détection et réponse des points finaux » (EDR) de niveau entreprise.
Un multiplicateur de force pour un « syndicat du crime »
Cette découverte met en évidence un changement crucial dans la manière dont la Corée du Nord mène sa cyberguerre. Le régime est confronté à un défi structurel : il dispose d’un bassin massif d’informaticiens peu qualifiés mais d’un nombre très limité de hackers d’élite.
L’IA résout ce problème en permettant à l’État d’adapter ses opérations sans augmenter son expertise. Au lieu d’avoir besoin d’une équipe de développement complète, un seul opérateur médiocre peut utiliser l’IA pour écrire des exploits, créer des sites Web et peaufiner ses scripts d’ingénierie sociale. Cela a transformé les cyberopérations nord-coréennes en quelque chose qui ressemble à un syndicat du crime sanctionné par l’État, utilisant les fonds volés pour contourner les sanctions internationales et financer les intérêts nationaux, y compris les programmes nucléaires.
L’angle mort de l’industrie
Les implications plus larges pour le secteur de la cybersécurité sont importantes. Alors qu’une grande partie du débat actuel se concentre sur le risque futur du « piratage autonome de l’IA », le véritable danger se manifeste actuellement à travers l’utilisation abusive des outils commerciaux existants.
Les principaux fournisseurs d’IA ripostent déjà. OpenAI et Anthropic ont tous deux signalé avoir détecté et banni des comptes nord-coréens. Cursor et Anima s’efforcent également d’empêcher les acteurs malveillants d’utiliser leurs plateformes.
Cependant, tant que ces outils resteront accessibles, ils continueront à abaisser les barrières à l’entrée de la cybercriminalité. La menace n’est pas un hypothétique « Skynet » ; c’est la capacité d’acteurs non qualifiés à se déplacer à une vitesse et à une échelle sans précédent.
Conclusion : L’IA ne crée pas nécessairement des pirates informatiques plus sophistiqués, mais elle permet aux pirates médiocres d’opérer à un niveau professionnel, transformant ainsi la cybercriminalité peu qualifiée en une industrie à haut rendement et parrainée par l’État.
