Incidents associés
Des chercheurs d'Anthropic ont déclaré avoir récemment observé la « première campagne de cyberespionnage orchestrée par l'IA » après avoir détecté des pirates informatiques liés à l'État chinois utilisant l'outil Claude AI de l'entreprise dans une campagne visant des dizaines de cibles. Des chercheurs externes se montrent beaucoup plus mesurés quant à l'importance de cette découverte.
Anthropic a publié ses rapports jeudi ici ici. En septembre, selon les rapports, Anthropic a découvert une campagne d'espionnage très sophistiquée, menée par un groupe parrainé par l'État chinois, qui utilisait Claude Code pour automatiser jusqu'à 90 % des tâches. L'intervention humaine n'était requise que sporadiquement (peut-être 4 à 6 points de décision critiques par campagne de piratage). Anthropic a indiqué que les pirates avaient exploité les capacités des agents d'IA à un degré sans précédent.
« Cette campagne a des implications considérables pour la cybersécurité à l'ère des agents d'IA, des systèmes capables de fonctionner de manière autonome pendant de longues périodes et d'accomplir des tâches complexes en grande partie indépendamment de l'intervention humaine », a déclaré Anthropic. « Les agents sont précieux pour le travail quotidien et la productivité, mais entre de mauvaises mains, ils peuvent considérablement accroître la viabilité des cyberattaques de grande envergure. »
« Fainéantise, obstruction et expériences hallucinatoires »
Des chercheurs externes n'étaient pas convaincus que cette découverte constituait le tournant décisif annoncé par les articles d'Anthropic. Ils se demandaient pourquoi ce genre d'avancées est souvent attribué à des pirates malveillants, alors que les hackers éthiques et les développeurs de logiciels légitimes ne font état que de gains marginaux grâce à l'IA.
« Je refuse toujours de croire que les attaquants parviennent à faire faire à ces modèles des prouesses impossibles à réaliser pour les autres », a déclaré Dan Tentler, fondateur de Phobos Group et chercheur spécialisé dans les failles de sécurité complexes, à Ars. « Pourquoi ces modèles donnent-ils aux attaquants ce qu'ils veulent dans 90 % des cas, alors que nous autres devons subir leur flagornerie, leur obstruction et leurs expériences hallucinatoires ? »
Les chercheurs ne nient pas que les outils d'IA puissent améliorer les flux de travail et réduire le temps nécessaire à certaines tâches, comme le triage, l'analyse des journaux et la rétro-ingénierie. Cependant, la capacité de l'IA à automatiser une chaîne complexe de tâches avec une intervention humaine minimale reste un défi. De nombreux chercheurs comparent les progrès de l'IA dans les cyberattaques à ceux permis par des outils de piratage tels que Metasploit ou SEToolkit, utilisés depuis des décennies. Ces outils sont indéniablement utiles, mais leur apparition n'a pas significativement augmenté les capacités des pirates ni la gravité des attaques qu'ils mènent.
Autre raison pour laquelle les résultats ne sont pas aussi impressionnants qu'on le prétend : les acteurs malveillants – identifiés par Anthropic sous le nom de GTG-1002 – ont ciblé au moins 30 organisations, dont de grandes entreprises technologiques et des agences gouvernementales. Parmi ces attaques, seule une petite partie a réussi. Ce constat soulève des questions. Même en supposant une intervention humaine minimale, à quoi bon si le taux de réussite est si faible ? Le nombre de succès aurait-il augmenté si les attaquants avaient utilisé des méthodes plus traditionnelles, nécessitant une intervention humaine ?
Selon Anthropic, les pirates ont utilisé Claude pour orchestrer des attaques à l'aide de logiciels et de frameworks open source facilement accessibles. Ces outils existent depuis des années et sont déjà faciles à détecter pour les équipes de défense. Anthropic n'a pas détaillé les techniques, les outils ou les failles spécifiques utilisés lors des attaques, mais pour l'instant, rien n'indique que l'utilisation de l'IA les ait rendues plus puissantes ou plus furtives que les techniques traditionnelles.
« Les acteurs malveillants n'inventent rien de nouveau », a déclaré le chercheur indépendant Kevin Beaumont.
Même Anthropic a relevé une « limite importante » dans ses conclusions :
Claude a fréquemment exagéré ses résultats et a parfois falsifié des données lors d'opérations autonomes, prétendant avoir obtenu des identifiants invalides ou identifiant des découvertes critiques qui se sont avérées être des informations publiques. Cette hallucination de l'IA dans des contextes de sécurité offensive a posé des problèmes d'efficacité opérationnelle à l'acteur, exigeant une validation rigoureuse de tous les résultats revendiqués. Cela demeure un obstacle aux cyberattaques entièrement autonomes.
Déroulement de l'attaque (selon Anthropic)
Anthropic a déclaré que GTG-1002 avait développé un cadre d'attaque autonome utilisant Claude comme mécanisme d'orchestration, ce qui a largement éliminé le besoin d'intervention humaine. Ce système d'orchestration a décomposé des attaques complexes en plusieurs étapes en tâches techniques plus simples telles que l'analyse des vulnérabilités, la validation des identifiants, l'extraction de données et les déplacements latéraux.
« L'architecture intégrait les capacités techniques de Claude comme moteur d'exécution au sein d'un système automatisé plus vaste. L'IA exécutait des actions techniques spécifiques selon les instructions des opérateurs humains, tandis que la logique d'orchestration maintenait l'état de l'attaque, gérait les transitions de phase et agrégeait les résultats de plusieurs sessions », a déclaré Anthropic. « Cette approche a permis à l'acteur malveillant d'atteindre une envergure opérationnelle généralement associée aux campagnes étatiques, tout en minimisant son implication directe. Le système progressait de manière autonome à travers les phases de reconnaissance, d'accès initial, de persistance et d'exfiltration de données, en séquençant les réponses de Claude et en adaptant les requêtes suivantes en fonction des informations découvertes. »
Les attaques suivaient une structure en cinq phases, chacune augmentant l'autonomie de l'IA.
Les attaquants ont pu contourner les garde-fous de Claude, notamment en décomposant les tâches en petites étapes que l'outil d'IA, pris isolément, n'interprétait pas comme malveillantes. Dans d'autres cas, les attaquants ont présenté leurs demandes comme émanant de professionnels de la sécurité cherchant à utiliser Claude pour améliorer les défenses.
Comme indiqué la semaine dernière (https://arstechnica.com/security/2025/11/ai-generated-malware-poses-little-real-world-threat-contrary-to-hype/), les logiciels malveillants développés par l'IA ont encore un long chemin à parcourir avant de constituer une menace réelle. Il ne fait aucun doute que les cyberattaques assistées par l'IA pourront un jour engendrer des attaques plus puissantes. Cependant, les données disponibles à ce jour montrent que les acteurs malveillants, à l'instar de la plupart des utilisateurs d'IA, obtiennent des résultats mitigés, loin d'être aussi impressionnants que le prétend l'industrie de l'IA.