Les chercheurs de Google constatent que les attaquants utilisent l’IA sur la quasi-totalité de la chaîne d’attaque. Les attaques existantes s’en trouvent améliorées, mais aucune nouvelle menace pilotée par l’IA n’est encore apparue.
Les attaquants utilisent de plus en plus l’IA générative comme accélérateur à presque chaque étape de la chaîne d’attaque. C’est ce qu’affirme le Google Threat Intelligence Group (GTIG) dans un rapport sur ce que l’équipe a observé sur le terrain au cours du dernier trimestre 2025. Selon le GTIG, l’IA rend les tactiques existantes plus efficaces et plus crédibles, mais les chercheurs ne voient pas encore, à l’heure actuelle, de cyberattaques fondamentalement nouvelles, pilotées par l’IA, qui bouleverseraient le paysage des menaces.
Recherche plus rapide et phishing plus ciblé
Un LLM aide, par exemple, à établir plus rapidement des profils de cibles potentielles. L’IA accélère plusieurs étapes : résumer les structures organisationnelles, identifier les hiérarchies et les décideurs, et affiner les listes de cibles. Le GTIG décrit comment des criminels ont détourné l’IA pour collecter des informations de compte sensibles et des adresses e-mail, avant d’intégrer peu après ces mêmes cibles dans des campagnes de phishing.
Ces campagnes de phishing deviennent plus réalistes, même à grande échelle. Une mauvaise grammaire et une syntaxe étrange ont longtemps été des signaux d’alerte utiles. Selon le GTIG, les attaquants utilisent désormais les LLM précisément pour éliminer ces faiblesses : des leurres hyper-personnalisés et culturellement cohérents font leur apparition.
Les chercheurs de Google observent également comment l’IA aide au phishing semi-personnalisé. Dans le cas du phishing dit de rapport-building, un modèle aide à mener des conversations crédibles en plusieurs étapes avant l’envoi d’une charge utile. Ainsi, la cible accorde sa confiance à l’« interlocuteur » pour être ensuite incitée, à un stade ultérieur, à cliquer.
Assistance technique
Le GTIG constate que l’IA joue également (et toujours) un rôle dans le codage et la résolution de bugs. L’IA peut résumer des fichiers lisez-moi, déboguer des scripts, traduire du code et élaborer des plans de test pour les vulnérabilités. En outre, il existe des expériences avec des logiciels malveillants qui utilisent l’IA pour la génération de code (comme un téléchargeur qui fait rédiger une fonctionnalité de deuxième étape via une API) et des kits de phishing probablement conçus plus rapidement grâce à l’aide au codage par l’IA et aux frameworks web modernes.
Ce que le GTIG observe n’est pas vraiment surprenant. Les criminels utilisent l’IA de la même manière que les employés légitimes. La technologie aide à synthétiser des informations, à rédiger des e-mails et à écrire du code. Cela s’applique aussi bien aux employés qu’aux pirates.