Analyse de la menace et des surfaces d’exposition selon l’ANSSI
1. Contexte et périmètre de l’analyse
Dans son rapport CERTFR-2026-CTI-001 publié le 4 février 2026, l’ANSSI propose une synthèse structurée de la menace associée à l’intelligence artificielle générative dans le champ des attaques informatiques. Le document se concentre exclusivement sur les systèmes d’IA générative, définis comme des systèmes capables de produire des contenus textuels, visuels, audio ou du code à partir de modèles entraînés sur de vastes corpus de données. Cette catégorie inclut notamment les Large Language Models (LLM).
L’analyse s’inscrit dans une approche de cyber threat intelligence, visant à caractériser à la fois l’usage offensif de ces technologies par des acteurs malveillants et les menaces pesant directement sur les systèmes d’IA eux-mêmes. L’ANSSI précise qu’à ce stade, aucun cas documenté ne démontre l’existence d’une attaque informatique entièrement autonome conduite par une IA générative.
2. L’IA générative comme facilitateur d’attaques informatiques
2.1 Intégration progressive dans la chaîne d’attaque
Les services d’IA générative sont progressivement intégrés à l’outillage des attaquants en tant que facilitateurs à différentes étapes de la chaîne d’attaque. Leur adoption repose sur leur flexibilité, leur accessibilité et leur capacité à automatiser certaines tâches à faible valeur ajoutée humaine.
L’ANSSI observe une utilisation récurrente de ces technologies pour la reconnaissance, la génération de contenus trompeurs et la mise à l’échelle d’opérations malveillantes, en particulier dans des environnements peu sécurisés.
2.2 Ingénierie sociale et reconnaissance ciblée
Les cas documentés montrent un usage significatif de l’IA générative pour la création de contenus d’ingénierie sociale. Plusieurs modes opératoires attribués à des acteurs étatiques ou para-étatiques ont utilisé des services d’IA pour générer des contenus de phishing multilingues, des faux profils professionnels ou des sites web à l’apparence légitime.
L’ANSSI rapporte également l’observation de sites Internet vraisemblablement générés par IA, utilisés pour l’hébergement de payloads malveillants ou pour des activités de profiling technique des visiteurs. En parallèle, des services de deepfake audio et vidéo sont accessibles à faible coût et exploités à des fins d’usurpation d’identité.
2.3 Développement et adaptation de codes malveillants
L’usage de l’IA générative dans le développement de malware reste limité par la nécessité de compétences humaines avancées, mais plusieurs cas attestent de son emploi comme outil d’assistance. Des scripts malveillants générés ou adaptés par LLM ont été observés dans des campagnes réelles.
Le rapport mentionne notamment l’émergence de codes malveillants intégrant dynamiquement des prompts à l’exécution, ou encore des malwares polymorphiques capables de réécrire régulièrement leur code source via des API d’IA générative afin de contourner les mécanismes de détection.
Ces usages suggèrent une montée en complexité progressive, sans toutefois démontrer une capacité actuelle à identifier et exploiter de manière fiable des vulnérabilités Zero-Day à grande échelle.
2.4 Exploitation post-exfiltration des données
L’IA générative est également utilisée pour analyser des volumes massifs de données exfiltrées, dans le but d’identifier rapidement des informations d’intérêt. Cette capacité permet aux attaquants d’optimiser l’exploitation de données compromises et d’accélérer les phases de valorisation ou d’extorsion.
3. Différenciation des usages selon les profils d’attaquants
L’ANSSI souligne une corrélation directe entre le niveau de maturité des acteurs et leur mode d’utilisation de l’IA générative.
Les acteurs les plus avancés utilisent ces technologies comme un levier d’industrialisation, comparable à l’adoption historique d’outils génériques tels que Cobalt Strike ou Metasploit. L’IA leur permet d’accélérer des processus existants, de produire du contenu en masse et d’opérer à plus grande échelle.
À l’inverse, les acteurs moins expérimentés exploitent principalement l’IA générative comme un outil d’apprentissage et d’assistance technique, sans rupture majeure dans leurs capacités opérationnelles. Dans l’ensemble, l’ANSSI estime que l’IA générative contribue avant tout à une accélération temporelle des attaques plutôt qu’à une transformation radicale de leurs fondements techniques.
4. Le détournement des modèles d’IA générative
Les modèles commerciaux intègrent des garde-fous destinés à limiter les usages illicites. Toutefois, l’ANSSI observe une évolution constante des techniques de contournement par prompt engineering, visant à manipuler les mécanismes de modération.
Des services de jailbreak-as-a-service et des modèles volontairement « débridés » sont proposés sur les forums cybercriminels, parfois entraînés sur des jeux de données spécifiquement orientés vers des usages malveillants, incluant du code malveillant et des scénarios d’hameçonnage.
5. Les systèmes d’IA générative comme cibles
5.1 Empoisonnement des modèles et désinformation
Le rapport identifie le model poisoning comme un risque crédible. Cette attaque consiste à altérer les données d’entraînement d’un modèle afin d’introduire des biais, des comportements indésirables ou des mécanismes de désinformation.
Des travaux de recherche cités par l’ANSSI démontrent qu’un nombre relativement réduit d’échantillons malveillants peut suffire à empoisonner un modèle, indépendamment de la taille globale du corpus d’apprentissage. En parallèle, la prolifération de contenus générés par IA sur Internet est susceptible de polluer indirectement les futures données d’entraînement.
5.2 Compromission de la chaîne logicielle et exfiltration
Les modèles d’IA générative open source constituent une nouvelle surface d’attaque de la supply chain logicielle. Des modèles compromis peuvent exécuter du code arbitraire dès leur intégration dans un environnement de développement.
L’ANSSI évoque également les risques liés aux agents d’interconnexion, tels que les Model Context Protocol, qui élargissent la surface d’attaque lorsqu’ils sont connectés à des outils ou des sources de données externes insuffisamment sécurisées. La pratique du slopsquatting illustre l’exploitation des hallucinations des LLM pour introduire des composants malveillants dans des chaînes de dépendances logicielles.
6. Exposition organisationnelle et usages professionnels
L’usage non maîtrisé de comptes d’IA générative dans un contexte professionnel constitue un facteur d’exposition supplémentaire. Des compromissions de comptes par infostealers ont été documentées, tout comme des fuites de données résultant d’un usage inapproprié par des employés.
Lorsque les systèmes d’IA sont intégrés à des environnements opérationnels ou à des systèmes d’information critiques, leur compromission peut entraîner des impacts directs sur la confidentialité, l’intégrité et la disponibilité des actifs connectés.
Le rapport CERTFR-2026-CTI-001 met en évidence une menace évolutive mais encore encadrée. L’IA générative agit principalement comme un accélérateur des capacités existantes plutôt que comme un facteur de rupture technologique immédiate. En parallèle, elle introduit de nouvelles surfaces d’attaque qui complexifient la gestion du risque cyber.
7. Conclusion analytique
Pour les structures CERT, CSIRT, SOC et les fonctions de gouvernance cyber, cette analyse souligne la nécessité d’intégrer les systèmes d’IA générative dans les périmètres de surveillance, d’analyse de risque et de gestion des incidents, au même titre que les composants logiciels et services numériques traditionnels.
Source : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-001/
Enjoy !
