WormGPT et ses émules : comment l'IA fait s'effondrer le ticket d'entrée de la cybercriminalité
Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Articles populaires
La démocratisation des capacités offensives
Pendant des décennies, écrire un malware fonctionnel exigeait de réelles compétences en programmation. La hauteur de cette barrière — produire un voleur d'identifiants, un dropper obfusqué ou un kit de phishing opérationnel — suffisait à tenir la plupart des aspirants criminels à l'écart. Cette barrière vient de céder.
Des outils commercialisés sous des noms tels que WormGPT, FraudGPT ou EvilGPT sont apparus sur les forums du dark web en 2023. Ce sont des LLM non alignés — soit des modèles open source affinés pour supprimer les garde-fous, soit des accès API détournés à des modèles commerciaux, manipulés via des prompts système qui contournent les refus. Le ticket d'entrée tourne autour de 60 à 200 dollars par mois.
Ce que ces outils produisent, pour un utilisateur sans bagage technique, a réellement de quoi inquiéter.
Ce que ces outils savent faire
Sur la base de l'activité observée sur les forums et de la recherche en sécurité :
- Générer des courriels de phishing fonctionnels, adaptés à un secteur cible, avec des pages d'atterrissage HTML qui imitent de vrais services.
- Produire du code de voleur d'identifiants en Python ou PowerShell, techniques d'évasion incluses.
- Rédiger des scripts convaincants de compromission d'email professionnel pour de l'ingénierie sociale multi-étapes.
- Assister les non-développeurs dans l'assemblage d'exploits existants et de codes de preuve de concept.
Ce qu'ils ne savent pas faire de manière fiable — pour l'instant — c'est développer de nouveaux zero-days ou échapper à un EDR finement réglé. La frontière de la capacité offensive exige encore des humains qualifiés. En revanche, le volume d'attaques de niveau intermédiaire a explosé, parce que le réservoir d'attaquants opérationnels a explosé.
Pourquoi cela compte pour les défenseurs
Trois implications pour les équipes sécurité :
- Attendez-vous à davantage de phishing, de meilleure qualité, à toute heure. L'attaquant n'a plus besoin d'être éveillé, ni dans votre fuseau horaire.
- Le malware de masse va se multiplier. L'essentiel sera absorbé par l'EDR et la sécurité messagerie — mais les angles morts seront exploités plus vite que par le passé.
- Votre maillon faible reste votre patcher le plus lent. L'IA permet aux attaquants d'exploiter à l'échelle des CVE connues, parfois quelques heures après leur publication.
Le guide défensif
Rien de fondamentalement nouveau dans la panoplie — mais l'urgence, elle, l'est. À prioriser :
- MFA obligatoire sur l'ensemble des comptes, sans exception.
- EDR avec détection comportementale, pas uniquement par signatures.
- Passerelles de messagerie avec sandboxing des pièces jointes.
- Cadence de patch agressive sur tout service exposé à Internet.
- Sensibilisation à la sécurité mise à jour pour intégrer les leurres générés par IA.
Un dernier point
Si votre organisation développe ou affine ses propres modèles d'IA, auditez les accès et la robustesse de vos filtres face à un détournement interne. Le prochain WormGPT sera bâti à partir d'un modèle d'entreprise ayant fuité. Assurez-vous que ce ne sera pas le vôtre.
