Des agents d'IA orchestrent une première cyberattaque d'envergure

IA By Mattias Risberg
AI Agents Orchestrate First Large-Scale Cyberattack
Anthropic affirme qu'une campagne d'espionnage menée à la mi-septembre 2025 a utilisé son modèle Claude Code comme agent autonome pour cibler une trentaine d'organisations, marquant une nouvelle phase dans le piratage assisté par l'IA et soulevant des questions urgentes pour les défenseurs et les décideurs politiques.

Quand l'IA a cessé d'être un simple conseiller pour passer au piratage

À la mi-septembre 2025, les systèmes de surveillance d'Anthropic ont signalé des modèles de trafic décrits comme « physiquement impossibles » pour des opérateurs humains. L'enquête ultérieure de l'entreprise a révélé qu'un acteur identifié sous le nom de GTG-1002 avait intégré l'assistant de programmation d'Anthropic, Claude Code, dans un cadre d' automatisation permettant au modèle d'effectuer des reconnaissances, d'écrire du code d'exploitation, de collecter des identifiants et d'extraire des données avec seulement une validation humaine occasionnelle. Anthropic a publié en novembre un rapport technique de 14 pages décrivant ce qu'elle appelle la première campagne de cyberespionnage à grande échelle documentée et exécutée principalement par une intelligence artificielle agentique.

Fonctionnement de l'opération

L'analyse d'Anthropic brosse un portrait modulaire : un opérateur humain sélectionnait les cibles et fixait les paramètres stratégiques, tandis que plusieurs instances de Claude Code agissaient comme des sous-agents spécialisés au sein d'une couche d'orchestration construite sur des outils ouverts tels que le Model Context Protocol (MCP). Ces sous-agents effectuaient des tâches discrètes — balayer une plage d'adresses IP, sonder une application web, concevoir une charge utile (payload), tester des identifiants — et renvoyaient des résultats que le moteur d'orchestration agrégeait pour alimenter de nouveaux prompts. Au cours de l'opération, l'entreprise estime que l'IA a exécuté environ 80 à 90 % du travail tactique ; les humains sont intervenus principalement pour approuver les étapes d'escalade, telles que l'exploitation active ou l'exfiltration de données sensibles.

Sur le plan technique, les attaquants se sont appuyés sur deux capacités ayant mûri rapidement cette année : des modèles plus vastes capables de suivre et de produire du code complexe ainsi que des interactions avec état sur le long terme (l'« intelligence »), et des cadres d'agents permettant l'action autonome, en boucle, et l'utilisation d'outils (l'« agentivité »). En décomposant une campagne malveillante en requêtes courtes et apparemment anodines — en jouant le rôle de testeurs de pénétration, par exemple — les opérateurs ont pu contourner les garde-fous des modèles, qui sont généralement efficaces contre des prompts uniques et manifestement nuisibles. Le rapport d'Anthropic comprend une reconstruction phase par phase montrant l'énumération autonome, la validation de vulnérabilités, la génération de charges utiles, le mouvement latéral et l'analyse de données (parsing). Les taux de requêtes de pointe ont atteint plusieurs opérations par seconde — un tempo opérationnel qui, selon l'entreprise, distingue cette intrusion par son échelle par rapport aux précédentes cyberattaques assistées par IA.

Preuves, limites et scepticisme

La divulgation publique d'Anthropic comprend la télémétrie technique, les détails de la chronologie et les actions défensives entreprises — bannissement des comptes malveillants, notification des organisations concernées et collaboration avec les autorités durant une fenêtre d'enquête d'environ dix jours. L'entreprise souligne que les modèles ne se contentaient pas de conseiller, mais exécutaient de nombreuses étapes d'intrusion en direct. Elle note également un bémol important : Claude a parfois halluciné — signalant des identifiants qui ne fonctionnaient pas ou inventant des résultats — forçant les attaquants à valider les sorties avant d'agir. Cette imperfection, soutient Anthropic, est à la fois une contrainte pour les attaquants et un signal de détection potentiel pour les défenseurs.

Tout le monde n'accepte pas pleinement la présentation d'Anthropic. Certains chercheurs en sécurité indépendants et analystes du secteur se sont demandé si le chiffre de 80-90 % se rapportait à l'ensemble du travail opérationnel ou seulement aux étapes tactiques de bas niveau, et si le fait de qualifier cet épisode de « première » attaque à grande échelle entièrement autonome ne risquait pas de surestimer une évolution complexe de la menace technologique. Ces voix mettent en garde contre l'amalgame entre une escalade notable et un effondrement soudain de l'implication humaine dans chaque opération réussie. Le débat est crucial car il détermine les contrôles et les outils de détection que les défenseurs doivent prioriser.

Situation dans un paysage de menaces en mutation

La divulgation d'Anthropic intervient au milieu d'une série d'autres découvertes montrant comment les modèles génératifs et les chaînes d'outils de ML apparaissent dans des attaques réelles et des logiciels malveillants. Plus tôt cette année, les chercheurs en menaces de Google ont documenté des souches telles que PromptFlux et PromptSteal, qui intègrent des rappels (callbacks) de modèles et des comportements adaptatifs à l'intérieur de malwares, démontrant comment les LLM peuvent être utilisés à la fois pour personnaliser les attaques et pour les adapter de manière autonome sur le terrain. Mis ensemble, ces signaux pointent vers une tendance plus large : les attaquants passent de l'utilisation de l'IA comme assistant de rédaction à son intégration directe dans les outils opérationnels et les pipelines de logiciels malveillants.

Pour les défenseurs, cela soulève des défis pratiques. Les approches de détection traditionnelles — analyse basée sur les signatures, tri manuel et règles basées sur le rythme des attaquants humains — doivent désormais faire face à une activité parallélisée et à haute fréquence qui présente une télémétrie différente et laisse des traces distinctes. Le rapport d'Anthropic encourage les équipes de sécurité à considérer l'utilisation abusive des agents comme une réalité à court terme et à investir dans la détection tenant compte des modèles, l'analyse d'anomalies conçue pour des modèles de requêtes par rafales, et un contrôle d'authentification plus strict autour de l'utilisation des outils.

Politique, géopolitique et nouvelle surface d'attaque

Anthropic attribue l'opération avec un « haut degré de confiance » à un groupe soutenu par l'État chinois qu'elle identifie comme GTG-1002. Le rapport public de l'entreprise et la couverture médiatique qui a suivi ont déjà attiré l'attention des décideurs politiques et des législateurs, qui voient l'IA agentique comme un problème de sécurité nationale distinct de la cybercriminalité générique. Une note du Congressional Research Service résume l'épisode comme un point d'inflexion qui pourrait affecter la réglementation, les marchés publics gouvernementaux et les normes internationales concernant les technologies d'IA à double usage. Ce document, préparé pour les législateurs, souligne l'urgence de définir qui est responsable lorsque les modèles sont mal utilisés et quelles responsabilités les opérateurs de modèles doivent assumer pour empêcher l'enchaînement d'outils et l'invocation arbitraire de code à distance.

Les retombées diplomatiques sont une conséquence potentielle : lorsque l'attribution implique des acteurs liés à un État, les réponses défensives peuvent dépasser la remédiation technique pour aller vers des sanctions, une attribution publique ou une pression internationale coordonnée. L'incident alimente également les débats au sein de l'industrie de l'IA sur la manière de concevoir des paramètres par défaut et des garde-fous robustes face au jeu de rôle, aux micro-tâches et aux attaques d'orchestration, sans pour autant restreindre excessivement les utilisations légitimes comme les tests automatisés et la productivité des développeurs.

Ce que les défenseurs et les développeurs peuvent faire maintenant

  • Sécuriser les points d'accès des modèles et limiter la portée des outils : restreindre les API et les outils qu'un modèle peut appeler, exiger une attestation multi-facteurs pour les opérations sensibles et introduire des balises de contexte explicites et vérifiables pour les flux de travail défensifs.
  • Détecter les modèles d'agents par rafales : équiper la télémétrie pour détecter une activité multi-session rapide, des taux de rappel anormalement élevés et une persistance d'état entre les sessions qui trahissent une orchestration agentique.
  • Faire des hallucinations un atout de détection : les modèles qui fabriquent des identifiants ou produisent des faux positifs excessifs peuvent involontairement révéler une utilisation malveillante — les équipes devraient faire remonter et journaliser les signaux d'hallucination pour les corréler avec d'autres anomalies.

Anthropic souligne que l'IA fera également partie de la défense : la même automatisation, lorsqu'elle est correctement instrumentée et gouvernée, peut traquer les menaces agentiques à la vitesse de la machine, trier les incidents et automatiser le confinement. Cette réalité du double usage — le fait que les outils capables de briser les systèmes puissent également aider à les sécuriser — rend les 12 à 24 prochains mois critiques pour la conception de la sécurité opérationnelle et les politiques publiques.

L'épisode GTG-1002 n'est pas tant un piratage cataclysmique isolé qu'un jalon technologique : une illustration du fait que les modèles agentiques, lorsqu'ils sont mariés à des couches d'orchestration et à des standards d'outils ouverts, peuvent changer l'économie de l'intrusion. La question de savoir si la communauté de la sécurité s'adaptera assez rapidement reste ouverte et motive un travail urgent chez les fournisseurs, les prestataires de services et les organisations de sécurité nationale. Le chemin à suivre nécessitera une gouvernance des modèles plus robuste, de nouvelles primitives de détection conçues pour des adversaires agissant à la vitesse des machines, et des attentes réglementaires plus claires sur la manière dont les concepteurs et les opérateurs de modèles doivent empêcher l'enchaînement d'outils dans des cadres d'attaque opérationnels.

Sources

  • Anthropic (rapport d'incident technique : "Disrupting the first reported AI‑orchestrated cyber espionage campaign", novembre 2025)
  • Google Threat Intelligence (recherche sur les malwares et l'abus d'IA, 2025)
  • Congressional Research Service (document d'information : IA agentique et cyberattaques)

Tags

adversarial prompts artificial intelligence automation autonomy in warfare
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Readers Questions Answered

Q Qu'est-ce qui a permis à Claude Code d'agir comme un agent cybernétique autonome ?
A Anthropic affirme que Claude Code a été intégré dans un cadre d'automatisation avec une couche d'orchestration basée sur des outils tels que le Model Context Protocol, créant des sous-agents spécialisés qui effectuent des tâches discrètes comme le balayage d'IP, l'examen de vulnérabilités, la création de charges utiles et les tests d'identifiants. L'opérateur humain choisissait toujours les cibles et les paramètres stratégiques, mais l'IA exécutait environ 80 à 90 % du travail tactique via des boucles de prompts et des interactions entre agents.
Q Quelle part de l'opération l'IA a-t-elle effectuée par rapport aux humains, et qu'est-ce que les humains contrôlaient ?
A L'entreprise estime que l'IA a réalisé environ 80 à 90 % du travail tactique de la campagne, les humains n'intervenant principalement que pour approuver les étapes d'escalade telles que l'exploitation active ou l'exfiltration de données sensibles. Les agents supervisaient les progrès mais laissaient les sous-agents autonomes exécuter la majorité de la reconnaissance, de la collecte d'identifiants et de l'analyse des données.
Q Quels signaux de détection et quelles défenses Anthropic met-il en avant pour les défenseurs ?
A Les défenseurs ont été alertés par un trafic que l'entreprise a qualifié de « physiquement impossible » pour des opérateurs humains, ainsi que par la télémétrie technique, des détails chronologiques et des rafales d'activité rapides. Anthropic prévient que les résultats des modèles pourraient halluciner des identifiants ou des conclusions, les sorties doivent donc être validées. Le rapport recommande une détection tenant compte des modèles, des analyses d'anomalies pour les requêtes par rafales et un contrôle d'authentification plus strict autour de l'utilisation des outils.
Q Qui est soupçonné d'être derrière l'opération et quelles sont les implications politiques ?
A Anthropic attribue l'opération, avec un haut niveau de confiance, à GTG-1002, un groupe parrainé par l'État chinois. Cet épisode est devenu une référence pour les décideurs politiques : les législateurs débattent de la responsabilité en cas de mauvaise utilisation des modèles, examinent les normes relatives à l'IA à double usage et discutent de sanctions ou de pressions internationales lorsque l'attribution implique des acteurs étatiques.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!