L’IA modifie également la façon dont les cybercriminels opèrent : les logiciels malveillants qui se réécrivent propulsent la cybercriminalité dans une nouvelle phase.
Logiciel malveillant auto-apprenant
Google signale que, pour la première fois, du code malveillant utilise l’IA pour adapter son comportement pendant l’exécution. Cela signifie que certaines familles de logiciels malveillants ne sont plus statiques, mais envoient des invites à des modèles linguistiques pour générer du code source, puis exécutent une variante actualisée. Cela facilite l’évolution et complique la suppression.
Exemples et tactiques
Parmi les exemples étudiés par BleepingComputer, on trouve Promptflux, un cheval de Troie qui installe des logiciels malveillants. Il demande à Gemini de réécrire son propre code source et d’en placer une copie dans le dossier de démarrage. D’autres prototypes utilisent des LLM pour générer des scripts qui collectent des données, analysent des systèmes ou copient des informations d’identification vers des référentiels publics. Les techniques des scripts d’IA sont si variées qu’elles sont actuellement difficiles à détecter.
Google affirme toutefois que les informations tirées de ces analyses ont été utilisées pour renforcer à la fois les mécanismes de détection classiques et les modèles eux-mêmes. DeepMind a été adapté pour ne pas contribuer à ce type d’attaques et pour reconnaître les invites suspectes. L’IA entre donc en lutte contre l’IA.
La défense évolue avec
Les logiciels malveillants classiques suivent des routines fixes, mais ces logiciels malveillants IA sont capables de se modifier pendant l’exécution en fonction de la sortie du modèle. Cela augmente la portée des attaquants et amène les équipes de sécurité à réfléchir à la manière dont la détection des logiciels malveillants peut également se réécrire et s’adapter au contexte.