Quand les cybercriminels délèguent à l’IA, la menace prend une nouvelle dimension et les ransomwares changent de visage. Les dernières recherches sur la cybercriminalité en viennent à la même conclusion : les entreprises doivent rapidement s’adapter à la montée en puissance de la cyber extorsion.
Les cybermenaces évoluent en même temps que les technologies et la cybercriminalité progressent elles aussi, transformant la manière dont les attaquants opèrent. L’évolution est rapide et colossale. Récemment, nous avons observé des changements dans le mode opératoire des cybercriminels spécialisés dans le ransomware. Ces changements imposent une réévaluation des défenses dans le but de réduire le risque d’attaque.
Le ransomware a connu une véritable transformation sur plusieurs décennies. La première attaque de ce type a été documentée en 1989, lorsque 20 000 disquettes infectées ont été distribuées lors d’une conférence internationale sur le sida organisée par l’Organisation mondiale de la Santé. Les demandes de rançon se faisaient alors par courrier. Les ransomwares ne sont devenus une menace généralisée que lorsque les crypto-monnaies ont permis des paiements anonymes en ligne. Depuis lors, ils ont évolué, visant les réseaux des États et des entreprises avec des demandes de rançon toujours plus élevées, et des techniques de chiffrement plus sophistiquées.
La nouvelle vague des ransomwares
En plus de l’augmentation drastique des attaques par ransomware, on constate que les acteurs malveillants délaissent les tactiques classiques de chiffrement de fichiers, et se concentrent désormais sur le vol d’informations sensibles. Ils menacent ensuite de rendre publiques ces données, qu’il s’agisse de données financières, de propriété intellectuelle, ou encore de données clients, afin de faire pression et d’obtenir des rançons plus élevées.
Dans certains cas, les cybercriminelss ne chiffrent même plus les données. Le risque véritable pour les organisations victimes de ces attaques réside non pas dans la perte d’accès aux outils de travail, mais dans l’érosion de la confiance qui leur est accordée, de leur réputation et de leur conformité.
L’essor des opérations autonomes de ransomware
Les experts en cybersécurité prédisent depuis longtemps que l’IA va considérablement aider les attaquants à infiltrer les réseaux. Elle peut aider à repérer des cibles, à identifier les dispositifs vulnérables sur un réseau, à créer du code d’exploitation, et à mener des attaques via des mails d’hameçonnage personnalisés.
Cependant, une découverte récente faite par Anthropic, l’entreprise à l’origine du chatbot Claude AI, montre jusqu’où certains attaquants sont allés. L’utilisation d’outils et d’agents IA pleinement automatisés a permis de mener des opérations d’extorsion à grande échelle avec un minimum d’intervention humaine.
Dans un article de blog, Anthropic rapporte qu’un cybercriminel a exploité Claude, un modèle d’IA conçu pour la programmation, pour orchestrer des attaques par ransomware entièrement autonomes. Comme d’autres plateformes d’IA générative largement disponibles, Claude présente à la fois des atouts bien réels, et une forte propension à l’abus.
Dix-sept victimes dans les secteurs de la santé, des services d’urgence, des administrations publiques et des institutions religieuses ont été ciblées simultanément. L’IA a pris en charge toutes les étapes de l’opération, de la reconnaissance et la collecte d’identifiants à la pénétration du réseau et à l’établissement des montants des rançons. Ce système totalement automatisé rédigeait même les notes de rançon, affichant des demandes allant jusqu’à 500 000 dollars sur les machines des victimes.
Les comptes ayant détourné le service ont été bannis après la découverte de l’attaque, mais les implications sont préoccupantes. Le ransomware autonome permet à des cybercriminels peu qualifiés techniquement d’obtenir de bons résultats, transformant ainsi le paysage de la cybercriminalité. Ce qui nécessitait autrefois des ressources, du travail d’équipe et une expertise, peut désormais être exécuté simplement avec un accès à des outils d’IA générative. La possibilité de mener des attaques à grande échelle, en ciblant plusieurs organisations à la fois, augmente le potentiel de croissance exponentielle des activités liées aux ransomwares. Le pirate ayant détourné Claude n’a probablement pas cessé ses activités, mais s’est simplement tourné vers d’autres outils.
Volume, rapidité et impact : l’ampleur du problème
Résumons : l’IA a abaissé les barrières d’entrée pour les campagnes de ransomware, permettant aux attaquants d’amplifier leurs opérations bien au-delà de ce que les capacités humaines seules permettaient. Là où les opérations classiques de ransomware demandaient des semaines ou des mois de planification et d’exécution, les capacités de l’IA permettent désormais aux opérateurs de cibler plusieurs victimes en parallèle, les systèmes autonomes prenant en charge la prise de décision tactique et stratégique. Il y a donc fort à parier que le vivier de cybercriminels capables de mener ce type d’attaques va croître, puisque l’expertise technique devient moins essentielle.
Un constat clair : les organisations, quelle que soit leur taille, doivent alors s’adapter rapidement à cette nouvelle réalité ou subir des compromissions répétées.
Ce que cela signifie pour les responsables de la cybersécurité
Les stratégies de défense qui étaient efficaces il y a encore quelques années ne suffisent plus face à ces nouvelles méthodes d’extorsion rendues possibles par l’IA générative. Les entreprises ne peuvent en aucun cas se reposer sur leurs expériences passées pour affronter les menaces futures.
Pour les DSI, RSSI et responsables informatiques, la lutte contre le ransomware doit devenir un élément central de la gestion des risques et de la résilience de l’entreprise. Il faut faire preuve de proactivité et être prêt à remettre en question les approches traditionnelles pour rester au niveau des attaquants.
Pour se défendre contre la prochaine génération de ransomwares, les organisations doivent revoir leurs priorités et affiner leurs mesures de sécurité.
Pour cela il convient de :
* Réduire la surface d’attaque : adopter une architecture Zero Trust pour mieux sécuriser les actifs numériques. Identifier et corriger les vulnérabilités. Renforcer les contrôles pour empêcher les attaquants de se propager au sein des réseaux.
* Prévenir les compromissions : la combinaison Zero Trust et IA permet de détecter et de bloquer les ransomwares ou malwares, y compris ceux pilotés par l’IA, avant que les systèmes ne soient compromis.
* Éliminer les mouvements latéraux : utiliser la segmentation adaptative générée par l’IA pour obtenir une visibilité complète sur l’activité des utilisateurs et le trafic des applications, et empêcher les attaquants de se déplacer d’un point d’accès compromis vers des actifs sensibles.
* Prévenir la fuite de données : déployer la technologie de prévention des pertes de données (DLP) pour détecter et bloquer les tentatives d’exfiltration de données. Ceci est crucial pour les organisations dont les secteurs sont particulièrement ciblés.
Se renforcer dans un contexte en pleine évolution
En 2025, plus aucun secteur d’activité ne peut se permettre d’ignorer la menace des ransomwares. Les organisations qui font de la cybersécurité une priorité stratégique et adoptent des solutions innovantes pilotées par l’IA élèvent leur niveau de défense et gagnent en résilience. Non seulement, elles protègent leur organisation, mais elles prouvent également leur capacité à assurer la continuité des opérations, à préserver la confiance des clients et à conserver leur avance dans un paysage cyber de plus en plus imprévisible.
____________________________
Par Rob Sloan, Vice-président cybersécurité, Zscaler
puis