DATE : Octobre 2025
CATÉGORIE : Technique / IA
Ransomwares et intelligence artificielle : quand les attaquants s'emparent de l'IA
Introduction
Depuis 2024, une nouvelle dimension s'ajoute au paysage des ransomwares : l'intelligence artificielle. Ce qui relevait de la spéculation est devenu une réalité documentée. Les groupes criminels utilisent des outils d'IA pour automatiser leurs campagnes, personnaliser leurs attaques et contourner les défenses traditionnelles. En 2025, selon le rapport Acronis Cyberthreats H2 2025, 80 % des opérateurs de RaaS proposaient des fonctionnalités d'IA ou d'automatisation à leurs affiliés.
Les usages concrets de l'IA par les attaquants
L'utilisation de l'IA ne vise pas à inventer de nouvelles techniques, mais à industrialiser des techniques éprouvées : exécuter plus vite, à plus grande échelle, avec moins d'erreurs humaines.
Le premier usage documenté est la génération de contenus de phishing. Les grands modèles de langage permettent de créer des emails frauduleux parfaitement rédigés et personnalisés en masse à partir de données OSINT sur les cibles. En 2025, les attaques avancées sur les outils de collaboration sont passées de 12 % à 31 % entre 2024 et 2025 selon Acronis.
Le deuxième usage est le vishing, voice phishing. Des outils de clonage vocal permettent de synthétiser la voix de dirigeants ou de collègues. Matt Hull, vice-président renseignement cyber chez NCC Group, a qualifié ce phénomène d'évolution qui change fondamentalement le profil de risque des entreprises.
Le troisième usage est l'automatisation de la reconnaissance. Des outils d'IA peuvent scanner en continu des millions de systèmes exposés sur Internet pour identifier les cibles vulnérables. IBM X-Force a documenté en 2026 une hausse de 44 % des attaques débutant par l'exploitation d'applications exposées, directement liée à l'usage d'outils de découverte de vulnérabilités assistés par IA.
Des outils spécialisés : FraudGPT et consorts
L'écosystème criminel a développé des outils inspirés des grands modèles de langage. FraudGPT, commercialisé sur des forums souterrains, permet de générer des emails de phishing, des pages frauduleuses et du code malveillant sans restriction. Des groupes comme FunkSec et RansomHub ont été observés en train d'intégrer ces outils dans leurs opérations selon Rapid7 et Google.
Certains RaaS proposent désormais des fonctionnalités IA explicites à leurs affiliés : assistance à l'analyse des victimes, chatbots de négociation, algorithmes d'identification des points de pression psychologique.
La réponse des défenseurs
Zscaler ThreatLabz recommande de combattre l'IA par l'IA, en déployant des outils de détection basés sur l'analyse comportementale plutôt que sur des signatures statiques. Sur le plan humain, la montée en puissance du vishing rend la formation des employés plus complexe et plus urgente : les indicateurs traditionnels de phishing ne suffisent plus quand la voix d'un dirigeant peut être clonée en quelques secondes.
Mon analyse
L'intégration de l'IA dans les ransomwares n'est pas un ransomware autonome et conscient. C'est une augmentation du volume et de la sophistication apparente des attaques menées par des acteurs peu qualifiés. Pour les développeurs, cela renforce l'importance de la sécurité applicative dès la conception : une vulnérabilité détectable par un scanner IA est une invitation à l'intrusion.
Sources
Acronis Cyberthreats Report H2 2025 (février 2026)
IBM X-Force Threat Intelligence Index 2026 (février 2026)
Rapid7 — Emerging Trends in AI-Related Cyberthreats in 2025
Google Cloud / Mandiant — Ransomware TTPs in a Shifting Threat Landscape (mars 2026)
Dark Reading — Ransomware's New Era: Moving at AI Speed (mars 2026)