Pour la première fois, une IA aurait mené en quasi-autonomie une vaste opération d’espionnage pilotée par des pirates numériques chinois financés par Pékin. Pour arriver à leurs fins, les espions ont eu recours à Claude, un modèle d’intelligence artificielle générative développé par l’entreprise américaine Anthropic. C’est l’entreprise elle-même qui a révélé ces informations dans un rapport de 13 pages publié jeudi 13 novembre. «Nous pensons qu’il s’agit du premier cas documenté d’une cyberattaque à grande échelle menée par une IA sans intervention humaine significative» a déclaré Anthropic sur X.
À la mi-septembre, l’entreprise découvre qu’une opération sophistiquée de cyberespionnage est en cours. Elle implique une organisation financée par l’État chinois, dont Anthropic ne divulgue pas l’identité dans son rapport. Cette opération aurait ciblé une trentaine d’organisations, dont de grandes entreprises technologiques, des institutions financières, des entreprises de fabrication de produits chimiques et des agences gouvernementales dans plusieurs pays. L’IA aurait réussi une poignée d’intrusions.
Passer la publicitéJeux de rôle
Les commanditaires, indique Anthropic, ne sont intervenus qu’en amont de l’opération et pour donner des autorisations à certains moments critiques. Entre 80 et 90% de l’opération aurait été automatisée. Inédit jusqu’alors. L’IA a agi en quasi-autonomie, détectant des vulnérabilités dans lesquelles elle s’est engouffrée. Elle a également assuré un large éventail d’activités post-exploitation : navigation dans les réseaux infiltrés, collecte et analyse de données. Pour ne pas éveiller les soupçons ou se voir refuser leurs requêtes, les programmes ont joué le rôle d’opérateurs humains. Ils prétendaient être des employés d’entreprises de cybersécurité et affirmaient ne procéder qu’à des tests.
Les pirates informatiques ont conçu un système automatisé qui a découpé en microtâches des opérations apparemment inoffensives. Chaque instruction est transmise via le protocole de contexte pour modèles (MCP), une norme ouverte qui permet à plusieurs IA de collaborer entre elles. Un agent Claude scanne un réseau ? «Simple audit de sécurité.» Un autre rentre un mot de passe volé ? «Test d’authentification interne.» Un troisième parcourt un réseau infiltré ? «Déploiement de correctif.» Isolé, chaque ordre est irréprochable et n’utilise que des logiciels en sources ouvertes. Aucun virus n’est utilisé, ce qui n’empêche pas le déploiement d’un système de contrôle à distance.
Méthodique, l’IA aurait alors accompli un grand nombre de tâches en autonomie, repérant et infiltrant les réseaux de certaines entreprises cibles. Une fois engagée, elle aurait poursuivi l’opération sans consignes humaines : cartographie des services internes, génération de code malveillant, exploitation de failles, validation d’identifiants volés. Après l’exfiltration, l’IA aurait elle-même analysé, trié et hiérarchisé les données récupérées pour identifier les informations sensibles. Selon le rapport, elle aurait même été capable de poursuivre l’attaque sur plusieurs jours.
L’IA aurait halluciné
Anthropic note toutefois que l’IA a halluciné. Claude a «exagéré ses résultats et parfois fabriqué des données», note l’entreprise. Elle a par exemple prétendu détenir des identifiants en réalité inutilisables et présenté comme cruciales des informations pourtant déjà publiquement accessibles.
Des difficultés qui constituent encore un obstacle à la mise en place de cyberattaques totalement autonomes, relève Anthropic. Toutefois, l’entreprise note que dans certains cas, l’IA a réussi sa mission, cartographiant entre autres le réseau d’entreprises dont cette dernière s’était procuré les adresses IP (numéro d’identification unique attribué à chaque appareil, NDLR). Anthropic craint que la facilité d’accès à ces fonctionnalités n’entraîne une «prolifération rapide» de ce type d’attaque, et affirme avoir informé les entreprises dont les données ont été compromises.
Passer la publicité«Les obstacles à la réalisation de cyberattaques sophistiquées ont considérablement diminué»
« Cette campagne démontre que les obstacles à la réalisation de cyberattaques sophistiquées ont considérablement diminué, et nous pouvons prédire qu’ils continueront à le faire », prédit l’entreprise. Elle annonce avoir pris des mesures pour renforcer la détection d’usages malveillants. Elle appelle également à accroître les investissements dans la protection des plateformes, à mesure que les IA gagnent en autonomie.
Des déclarations qui ne rassurent pas Henk van Ess, spécialiste du journalisme en sources ouvertes (OSINT) et du numérique. «Les pirates ont détourné les garde-fous de Claude via un simple jeu de rôle (..) Quelle est l’efficacité réelle de ces protections ?» s’est-il inquiété sur son blog. Une question, pour l’heure, essentiellement rhétorique.