L’essor du "vibe hacking" inquiète les experts en cybersécurité.
L’intelligence artificielle grand public est désormais détournée en véritable main-d’œuvre numérique pour les cybercriminels.
Les attaques informatiques, autrefois réservées aux spécialistes, deviennent aujourd’hui accessibles à des novices grâce aux robots conversationnels.
Le phénomène, baptisé
"vibe hacking"
en référence au
"vibe coding"
(la création de code par des non-initiés), marque une
"évolution inquiétante de la cybercriminalité assistée par l’IA"
, alerte l’entreprise américaine Anthropic.
D
ans un rapport publié mercredi, Anthropic – concurrent d’OpenAI et concepteur de l’outil Claude Code – a révélé qu’
"un cybercriminel a utilisé Claude Code pour mener une opération d’extorsion de données à grande échelle"
. L’IA spécialisée dans le développement informatique aurait permis de lancer des attaques visant au moins 17 organisations distinctes en un mois.
Utilisé pour concevoir des logiciels malveillants, l’outil aurait servi à collecter des données personnelles et médicales, ainsi que des identifiants de connexion. Les pirates auraient ensuite envoyé des demandes de rançon allant jusqu’à 500.000 dollars. L’auteur des attaques a été banni, mais ce cas illustre les failles persistantes malgré les
"mesures de sécurité sophistiquées"
déployées par Anthropic.
Les limites des garde-fous
Les limites des garde-fous
Ce scénario n’est pas isolé. Déjà en juin, OpenAI avait reconnu qu’un utilisateur avait exploité ChatGPT pour développer un malware. Si les grands modèles de langage intègrent des garde-fous pour empêcher leur détournement, des techniques émergent pour contourner ces barrières.
Vitaly Simonovich, chercheur en cybersécurité chez l’israélien Cato Networks, explique avoir découvert une méthode qu’il a baptisée
"monde immersif"
. En décrivant à un chatbot un univers fictif où
"la création de logiciels malveillants est un art"
, il a réussi à inciter certains modèles à générer du code malveillant.
"C’était ma façon de tester les limites des modèles de langage actuels"
, détaille-t-il.
Si Gemini (Google) et Claude (Anthropic) ont résisté, d’autres comme ChatGPT, Deepseek et Copilot (Microsoft) ont fini par produire du code capable de dérober des mots de passe. Pour le chercheur,
"l’essor des menaces venant de la part d’acteurs inexpérimentés va représenter un danger croissant pour les organisations"
.
Vers une multiplication des victimes
Vers une multiplication des victimes
Pour Rodrigue Le Bayon, responsable du CERT (centre de réponse aux incidents de cybersécurité) d’Orange Cyberdefense, l’urgence n’est pas tant une explosion du nombre de cybercriminels que l’augmentation du nombre de victimes.
"On ne va pas avoir de code très sophistiqué directement créé par des chatbots"
, nuance-t-il, mais la banalisation de ces attaques élargit mécaniquement le champ des cibles.
Face à cette tendance, les experts estiment que les éditeurs d’IA doivent renforcer leurs systèmes de détection.
"Aujourd’hui, les éditeurs font un travail d’analyse des usages pour être en capacité de mieux détecter les usages malveillants"
, conclut M. Le Bayon.
À lire également:
À lire également:
#cybercriminalité
#internet
#technologies
#informatique
#intelligence artificielle
#IA
#piratage informatique
#hackers
#logiciels malveillants
#malware
#Anthropic
#OpenAI
#ChatGPT
#Claude Code
#cybersécurité
#vibe hacking
#rançongiciel
#cyberattaques.
