Imagine un hacker. Tu penses à un génie du clavier, un as de l’assembly, un type qui crache du code comme d’autres respirent. Maintenant, oublie tout ça. Parce que la nouvelle star du cybercrime nord-coréen, c’est pas un surdoué, c’est un mec qui sait vaguement copier-coller des prompts dans ChatGPT. Et avec ça, il te pique 12 millions de dollars en trois mois. L’IA ne révolutionne pas que les métiers créatifs, elle démocratise aussi le crime organisé.
Le groupe Lazarus, tu connais peut-être le nom. Ceux qui ont fait les coups retentissants contre Sony, la Bangladesh Bank, et qui traînent derrière le ransomware WannaCry. Des pros, quoi. Sauf que depuis quelques mois, ils ont trouvé un nouveau jouet : l’IA générative. Et le résultat, c’est une industrialisation à la chaîne de leurs attaques. Ils ne sont plus seuls à table : d’autres groupes nord-coréens, moins talentueux, s’y mettent aussi. Wired rapporte qu’un de ces groupes a siphonné jusqu’à 12 millions de dollars en trois mois. Pas mal pour des « médiocres », comme les qualifie l’article.
Comment ça marche ? Ils utilisent l’IA pour tout. Vibe coding du malware ? Check. Génération de faux sites d’entreprise pour le phishing ? Check. Rédaction d’emails piégés qui sonnent comme du vrai anglais corporate ? Check. Même la recherche de vulnérabilités dans du code open source, ils la sous-traitent à des modèles. C’est du hacking en kit Ikea : tu suis les instructions, et même si t’as deux mains gauches, tu finis par monter quelque chose qui tient à peu près debout. Sauf qu’ici, le meuble en question te vide ton compte en banque.
L’article d’Expel, partagé sur Hacker News, détaille le modus operandi. Ils ciblent spécifiquement les développeurs, avec des offres d’emploi bidon sur des plateformes comme LinkedIn ou des forums tech. L’IA génère des profils crédibles, des descriptions de poste alléchantes, et même du code malveillant camouflé en projet open source. Une fois le développeur mordu, ils infiltrent son système, volent ses identifiants, et hop, c’est parti pour une campagne de ransomwares ou de vols de cryptos. La beauté du truc, c’est que ça scale. Un seul script bien prompté peut générer des milliers de variantes, adaptées à chaque cible. Plus besoin d’une armée de hackers experts, une poignée de types avec un abonnement ChatGPT Pro suffit.
Alors, on en est où ? D’un côté, c’est flippant. Parce que si des groupes aux moyens limités (la Corée du Nord, c’est pas exactement la Silicon Valley) peuvent faire des ravages avec des outils accessibles à tous, imagine ce que des acteurs plus sophistiqués pourraient faire. De l’autre, c’est presque rassurant de voir que l’IA ne crée pas des super-hackers, elle donne juste des béquilles à des types qui, sans elle, seraient restés à spammer des emails en CAPS LOCK. Le vrai problème, c’est l’échelle. Un attaquant médiocre peut maintenant lancer des centaines d’attaques simultanées, avec un taux de succès faible mais suffisant pour rapporter gros. C’est la loi des grands nombres appliquée au crime : tu tapes partout, et avec assez d’essais, tu finis par toucher.
Et les géants de l’IA dans tout ça ? OpenAI, Google, Meta, ils se gargarisent de leurs garde-fous éthiques, de leurs politiques d’usage responsables. Mais dans les faits, leurs modèles servent à générer du malware et du phishing à la chaîne. On parle pas de petites fuites, on parle d’une exploitation industrielle. Où sont les détections en temps réel ? Les blocages automatiques des prompts suspects ? Pour l’instant, ça sent un peu l’après-vente défaillant. Ils vendent des couteaux suisses en promettant qu’ils servent à couper du pain, mais quand quelqu’un s’en sert pour braquer une banque, ils haussent les épaules en disant « on avait mis une notice ».
La leçon, c’est que l’IA ne va pas créer des cybercriminels surdoués, elle va juste permettre à plus de monde de faire plus de dégâts, plus vite. C’est la démocratisation de la menace. Et comme d’habitude, les gardiens du temple sont à la traîne. Alors la prochaine fois que tu vois une offre d’emploi trop belle pour être vraie sur GitHub, pense à vérifier qui se cache derrière. Ça pourrait être un recruteur, ça pourrait être un bot, ou ça pourrait être un type à Pyongyang en train de siroter un thé en rigolant de tes crédits AWS.
Faut-il s’inquiéter ? Oui, clairement. Mais pas paniquer. Parce qu’au fond, c’est juste la suite logique de l’évolution technologique : chaque outil puissant finit par être détourné. L’IA ne fait pas exception. Reste à voir si les acteurs du secteur vont enfin prendre au sérieux la sécurité, au-delà des communiqués de presse. En attendant, garde tes mots de passe complexes, active la 2FA partout, et méfie-toi des « opportunités » qui tombent du ciel. L’IA peut bien écrire des emails convaincants, elle ne peut pas (encore) contourner une bonne hygiène numérique. Pour l’instant.
Sources :
Comments are closed