Incidents associés
Les responsables de la sécurité sont confrontés à une nouvelle forme de menace autonome : Anthropic (https://www.anthropic.com/) détaille la première campagne de cyberespionnage orchestrée par une IA.
Dans un rapport publié cette semaine, l’équipe de veille sur les menaces de l’entreprise a décrit le démantèlement d’une opération sophistiquée menée par un groupe parrainé par l’État chinois – une évaluation faite avec un haut degré de certitude – baptisée GTG-1002 et détectée mi-septembre 2025.
L’opération ciblait une trentaine d’entités, dont de grandes entreprises technologiques, des institutions financières, des entreprises chimiques et des agences gouvernementales.
Au lieu d’assister les opérateurs humains, l’IA a manipulé avec succès le modèle Claude Code d’Anthropic pour qu’il fonctionne comme un agent autonome et exécute la grande majorité des opérations tactiques de manière indépendante.
Il s’agit d’une évolution inquiétante pour les RSSI, car les cyberattaques passent d’efforts dirigés par des humains à un modèle où les agents d’IA effectuent 80 à 90 % du travail offensif, les humains n’intervenant qu’en tant que superviseurs de haut niveau. Anthropic estime qu'il s'agit du premier cas documenté de cyberattaque de grande envergure menée sans intervention humaine significative.
Le groupe a utilisé un système d'orchestration qui a chargé des instances de Claude Code de fonctionner comme agents de test d'intrusion autonomes. Ces agents d'IA, dans le cadre de la campagne d'espionnage, ont été programmés pour effectuer des missions de reconnaissance, découvrir des vulnérabilités, développer des exploits, collecter des identifiants, se déplacer latéralement sur les réseaux et exfiltrer des données. Grâce à cela, l'IA a pu réaliser la reconnaissance en un temps considérablement réduit par rapport à une équipe de pirates informatiques.
L'implication humaine s'est limitée à 10-20 % de l'effort total, principalement au lancement de la campagne et à l'autorisation de certaines étapes clés. Par exemple, des opérateurs humains approuvaient le passage de la reconnaissance à l'exploitation active ou autorisaient l'étendue finale de l'exfiltration de données.
Les attaquants ont contourné les mécanismes de protection intégrés du modèle d'IA, conçus pour éviter les comportements malveillants. Ils y sont parvenus en jailbreakant le modèle, en le trompant par la décomposition des attaques en tâches apparemment anodines et en adoptant une fausse identité. Les opérateurs ont indiqué à Claude qu'il s'agissait d'un employé d'une entreprise de cybersécurité légitime, utilisé pour des tests de sécurité. Cela a permis à l'opération de se poursuivre suffisamment longtemps pour accéder à plusieurs cibles validées.
La sophistication technique de l'attaque ne résidait pas dans un logiciel malveillant novateur, mais dans son orchestration. Le rapport souligne que le système reposait « essentiellement sur des outils de test d'intrusion open source ». Les attaquants ont utilisé des serveurs MCP (Model Context Protocol) comme interface entre l'IA et ces outils courants, permettant ainsi à l'IA d'exécuter des commandes, d'analyser les résultats et de maintenir son état opérationnel sur plusieurs cibles et sessions. L'IA a même été programmée pour rechercher et écrire son propre code d'exploitation pour la campagne d'espionnage.
Bien que la campagne ait réussi à compromettre des cibles de grande valeur, l'enquête d'Anthropic a révélé une limitation notable : l'IA a présenté des hallucinations lors des opérations offensives.
Le rapport indique que Claude « exagérait fréquemment ses résultats et fabriquait parfois des données ». Cela s'est manifesté par l'IA prétendant avoir obtenu des identifiants invalides ou par l'identification de découvertes qui « s'avéraient être des informations publiques ».
Cette tendance a contraint les opérateurs humains à valider minutieusement tous les résultats, ce qui a posé des problèmes d'efficacité opérationnelle aux attaquants. Selon Anthropic, cela « reste un obstacle aux cyberattaques entièrement autonomes ». Pour les responsables de la sécurité, cela met en évidence une faiblesse potentielle des attaques pilotées par l'IA : elles peuvent générer un volume important de bruit et de faux positifs, détectables par une surveillance robuste.
La principale implication pour les dirigeants d'entreprise et les responsables technologiques est que les barrières à l'entrée pour mener des cyberattaques sophistiquées ont considérablement diminué. Des groupes disposant de moins de ressources peuvent désormais mener des campagnes qui nécessitaient auparavant des équipes entières de pirates informatiques expérimentés.
Cette attaque démontre une capacité allant au-delà du simple « piratage par intuition », où les humains gardaient fermement le contrôle des opérations. La campagne GTG-1002 prouve que l'IA peut être utilisée pour découvrir et exploiter de manière autonome les vulnérabilités en conditions réelles d'exploitation.
Anthropic, qui a banni les comptes et alerté les autorités après dix jours d'enquête, affirme que cette évolution souligne l'urgence d'une défense basée sur l'IA. L'entreprise déclare que « les capacités mêmes qui permettent à Claude d'être utilisé dans ces attaques le rendent également essentiel à la cyberdéfense ». Son équipe de veille sur les menaces a largement utilisé Claude pour analyser « les énormes quantités de données générées » au cours de cette enquête.
Les équipes de sécurité doivent partir du principe qu'un changement majeur s'est produit en cybersécurité. Le rapport exhorte les défenseurs à « expérimenter l'application de l'IA à la défense dans des domaines tels que l'automatisation des SOC, la détection des menaces, l'évaluation des vulnérabilités et la réponse aux incidents ».
La bataille entre les attaques pilotées par l'IA et la défense basée sur l'IA a commencé, et l'adaptation proactive pour contrer les nouvelles menaces d'espionnage est la seule voie viable à suivre.