Malwares et IA : les LLM, nouvelle arme des cybercriminels

Les grands modèles de langage deviennent un nouvel outil entre les mains des attaquants. Détection, contournement, réponse défensive : la cybersécurité entre dans une ère où l’IA peut être à double tranchant.

Une mutation des cybermenaces avec les grands modèles de langage

L’apparition d’une nouvelle génération de malwares activés par LLM, identifiée par SentinelLABS, bouleverse le paysage de la cybersécurité. Ce constat, issu d’une étude approfondie publiée par la cellule de recherche de SentinelOne, révèle comment l’essor des grands modèles de langage – ou LLM (Large Language Models) – ouvre la voie à des attaques d’un genre inédit. Désormais, certains logiciels malveillants s’appuient sur ces technologies pour générer dynamiquement du code à des fins hostiles, échappant ainsi aux méthodes traditionnelles de détection.

Nouvelles techniques et cas emblématiques

Si l’intégration des LLM dans les outils offensifs reste balbutiante, quelques échantillons marquants sont déjà sous surveillance. Parmi eux, le projet « MalTerminal » illustre cette tendance : ce malware exploite l’API GPT-4 pour produire en temps réel un ransomware ou un reverse shell, en fonction des instructions reçues. D’autres cas récents – à l’image de « LameHug/PROMPTSTEAL », lié au groupe APT28 selon le CERT-UA – démontrent une capacité à automatiser la collecte d’informations sensibles grâce à l’injection directe de prompts dans les systèmes visés.

Les usages recensés ne se limitent pas à la génération autonome de codes malveillants : on note aussi le recours aux LLM pour assister les opérations de phishing, créer des agents d’exploration automatisée ou injecter délibérément des vulnérabilités dans des applications tierces.

L’art délicat de la détection et pistes pour la défense

Face à ces menaces évolutives, les chercheurs ont été contraints d’innover dans leurs méthodes. La chasse aux artefacts tels que les clés d’API intégrées et les prompts codés en dur est devenue un axe central pour repérer ces nouveaux malwares. Concrètement, l’analyse fine a permis d’identifier plus de 7 000 échantillons comportant des clés API uniques ou des structures typiques d’intégration avec des services comme OpenAI ou HuggingFace.

Voici quelques points qui facilitent cette traque :

• Dépistage massif de clés API spécifiques aux principaux fournisseurs.
• Recherche systématique de prompts incrustés dans le code.
• Analyse comportementale basée sur la génération dynamique du code.

Cette stratégie apporte un avantage non négligeable : si ces logiciels sont adaptatifs et imprévisibles, leur dépendance aux LLM laisse malgré tout des traces exploitables par les défenseurs.

Mise en perspective : phase expérimentale et responsabilité collective

Il demeure que l’exploitation criminelle directe des LLM reste encore marginale et souvent expérimentale. Toutefois, ce stade précoce constitue une opportunité singulière : celle pour la communauté de renforcer sa compréhension du phénomène avant une éventuelle industrialisation massive. De l’avis même de SentinelLABS, seule une mobilisation large – combinant partage d’informations et veille active – permettra de contenir efficacement cette mutation technologique avant qu’elle ne gagne en maturité.

En somme, avec cette irruption des LLM au cœur même du code malveillant, la cybersécurité se trouve confrontée à un défi inédit où adaptation rapide et coopération internationale seront sans doute décisives dans les mois à venir.