L’IA au service du ransomware : chronique d’une fabrication sans fondement

Le 8 septembre dernier, l’école de management Sloan du prestigieux MIT publiait un article selon lequel « 80 % des attaques avec ransomware utilisent désormais l’intelligence artificielle ».

La situation est grave : « une nouvelle étude menée par Cybersecurity at MIT Sloan et Safe Security a examiné 2 800 attaques par ransomware et a révélé que 80 % d'entre elles étaient alimentées par l'intelligence artificielle ». Bon, ça, c’est pour la version originale de l’article.

La version actuellement en ligne est considérablement plus mesurée : « les experts en cybersécurité du MIT Sloan avertissent que l'IA est régulièrement utilisée dans les cyberattaques pour créer des logiciels malveillants, des campagnes de phishing et des techniques d'ingénierie sociale basées sur le deepfake, telles que les faux appels du service clientèle ».

Les allégations sont plus floues, moins radicales. Autrement dit, elles se prêtent moins à une critique déterminée, voire virulente, ou tout simplement virale.

Et peut-être à juste titre : datée du 10 avril 2025, l’étude ne serait en fait qu’un document de travail préliminaire à la publication. Ce qui n’a pas empêché, donc, le MIT Sloan de le présenter initialement comme une étude concluante. De quoi conduire de nombreux médias à reprendre ce qu’ils pensaient être une information, à l’instar, en France, de Clubic et de Phonandroid.

Mais qui est cité dans l’article du MIT Sloan ? Michael Siegel. Il est « chercheur principal au MIT Sloan. Ses principaux domaines de recherche portent sur la gestion de la cybersécurité des systèmes d'information. Il est cofondateur et codirecteur du programme Cybersécurité au MIT Sloan ». Mais accessoirement aussi membre du Comité consultatif technique de Safe Security. Une jeune pousse qui, incidemment, propose une solution de « gestion autonome du risque cyber réinventée avec l’IA agentique ».

Michael Siegel compte parmi les auteurs de l’étude citée dans la version originale de l’article, aux côtés notamment de Vidit Baxi, fondateur et RSSI de Safe Security, et de Sharavanan Raajah, chercheur en menaces chez Safe Security. Mais sur la page de couverture de l’étude, le rôle occupé par Michael Siegel au sein du Comité consultatif technique de Safe Security n’est pas mentionné.

La double casquette de Michael Siegel n’a pas échappé à l’expert Kevin Beaumont. Mais Joe Uchill s’est penché, en profondeur, dans ladite étude. Et de relever de nombreuses affirmations à tout le moins discutables.

Ainsi, selon ce qu’il ne faudrait considérer que comme un document de travail préliminaire, « parmi les exemples passés de logiciels malveillants, WannaCry et NotPetya illustrent des attaques auto-propagatrices alimentées par l'IA qui nécessitent une intervention humaine minimale ». Problème ? C’est deux cas remontent à 2017, « deux ans avant GPT 2 », pointe Joe Uchill.

Les signataires du document suggèrent que de « nombreux groupes de ransomware utilis[e]nt l'IA », avec en tête LockBit, RansomHub, Akira et ALPHV/BlackCat. Selon le texte, c’est bien simple, « les 10 principaux groupes cybercriminels connus pour exploiter l'IA et diffuser des rançongiciels, […] représentent près de 80 % de l'ensemble des attaques par ransomware ».

Selon leur texte, des caractéristiques telles que le polymorphisme et l’obfuscation de code compteraient parmi les « principales capacités des rançongiciels basés sur l’IA ». Les développeurs apprécieront.

Mieux encore, « « our fixer le montant des rançons, l'IA analyse les données des victimes, telles que leur situation financière, leur secteur d'activité et leurs réactions passées face à des incidents cyber ». Oublié ZoomInfo.

« Si vous demandez à n'importe quelle entreprise sérieuse spécialisée dans la réponse aux incidents cybernétiques quels sont les vecteurs d'accès initiaux à l'origine des incidents, elle vous répondra les classiques : utilisation abusive d'identifiants (par des voleurs d'informations), exploits contre des périphériques non patchés, etc. », relève Kevin Beaumont.

Alors pour lui, « il y a tellement de choses qui ne vont pas que, eh bien, c'est déprimant ». Car « ce n'est pas une théorie, mais une conclusion tirée des données réelles sur les incidents cybernétiques recueillies par les personnes dont c'est le métier de répondre à ces incidents. […] Les ransomwares génératifs basés sur l'IA n'existent pas, et le MIT devrait avoir honte de lui-même ».