L‘intelligence artificielle est maintenant entrée dans nos quotidiens à de nombreux niveaux. Cette entrée fracassante inclut également des secteurs plus obscurs que d’autres. Aujourd’hui, nous allons voir comment utiliser l’IA pour pirater une entreprise.
Aujourd’hui, ma mission est d’hacker une entreprise afin de voler des données voir même de recupérer directement une rançon. Appelons notre cible du jour (au hasard) Ambient-it.
Je vais donc tenter de pénétrer son infrastructure informatique et obtenir toutes les autorisations nécessaires.
Pour cela, je suis armé de mon ordinateur, de ma créativité et surtout de mes fidèles assistantes : les intelligences artificielles.
Je sais ce que vous vous dites : comment un outil en apparence inoffensif comme ChatGPT peut-il être utilisé pour le piratage informatique ? Sachez tout d’abord que, depuis l’arrivée de ChatGPT en 2022, les attaques informatiques ont explosé et qu’en 2023, une sur six impliquait déjà une IA d’une façon ou d’une autre. Sur les douze derniers mois, c’est près de 9 entreprises sur 10 qui déclarent avoir subi au moins une attaque “dopée à l’IA” (phishing, deepfakes, voix clonées, etc.).
Vous comprenez donc qu’en tant que hacker, je ne vais pas bouder cette nouvelle tendance et utiliser ces outils à mon avantage.
Étape 1 : La reconnaissance
Avant de foncer la tête la première dans les Firewalls de l’entreprise, la phase de reconnaissance est une étape cruciale lors d’une opération de piratage informatique.
C’est un vrai travail de détective, il faut commencer par enquêter sur tout ce que l’entreprise expose publiquement : je dresse la liste de ses noms de domaine, je collecte les adresses e-mail de ses employés, et je scrute les réseaux sociaux.
Cette étape de renseignement sur des sources publiques s’appelle L’OSINT. Dans cette opération, chaque détail compte : une date de naissance pour un mot de passe, le fan de rock qui ne résistera pas à des places de concert gratuites, etc.
Grâce à ces infos, j’établis de petits profils psychologiques de cibles potentielles.
Évidemment, si ma cible est une grosse entreprise, plus question de lire moi-même la centaine de profils que j’ai collectés. L’IA me permet non seulement d’automatiser la collecte, mais il est également possible de les faire analyser par LLM afin d’en extraire les informations les plus intéressantes.
En explorant les offres d’emplois publiées par l’entreprise, il est même possible d’avoir un bon aperçu des technologies utilisées dans leurs infrastructures internes.
Étape 2 : Social Engineering
Une fois mes informations récoltées, il est temps de passer à ma première tentative de piratage. Le but est ici d’exploiter des failles humaines pour m’introduire dans les infrastructures de l’entreprise.
Il faut savoir une chose en piratage informatique : les méthodes les plus simples sont les meilleures.
En fait, les attaques les plus célèbres de l’histoire ont presque toutes pour origine des mails de phishing. La plus célèbre (et spectaculaire) étant le ransomware WannaCry qui à paralysé des entreprises comme Vodafone et Fedex, et même le National Health Service.
Phishing nouvelle génération ; utiliser l’IA
Première tentative toute simple : envoyer un mail frauduleux bien tourné. Il suffit d’un seul mail et d’un seul clic pour réussir. Malheureusement pour moi, les employés sont de plus en plus sensibles aux messages douteux et aux différents dangers qui peuvent se terrer dans leur boite mail.
Cependant, grâce à l’aide de mon super assistant, ChatGPT, je peux composer un message au style irréprochable, imitant par exemple le ton du directeur technique (dont j’aurais copié le style à partir de posts et de commentaires LinkedIn, par exemple).
En quelques secondes, j’ai donc un mail très crédible qui annonce qu’en raison d’une mise à jour urgente, il est impératif de prendre connaissance des nouvelles procédures de sécurité trouvables en pièce jointe. Le mail intègre évidemment des informations personnelles glanées pendant la phase de reconnaissance.
On appelle ça du spearphishing, du hameçonnage ciblé finement sur une personne en utilisant des infos sur elle.
Graçe à l’IA, ce processus est extrêmement facile à adapter pour viser dix, vingt ou cinquante personnes. Et je n’ai besoin que d’un clic sur la pièce jointe sur un seul mail pour déclencher mon programme malveillant.
Avez-vous entendu parler du virus “I LOVE YOU” ? En 2000, des millions d’utilisateurs ont reçu un e-mail d’amour avec un fichier joint “Love-Letter-for-you.txt.vbs”. En l’ouvrant, ils infectaient leur ordinateur et envoyaient malgré eux le même mail à tous leurs contacts. Preuve que jouer sur les émotions (la curiosité, la romance, la peur) est diablement efficace en ingénierie sociale, et ce, depuis des décennies.
“Allô, ici la secrétaire de…”
En parallèle des mails, il existe une autre piste d’attaque possible: le téléphone.
Une méthode certes old school mais qui s’est considérablement transformée avec l’arrivée des deepfakes.
Imaginez la scène : lundi matin 9h30, le technicien support décroche son téléphone. À l’autre bout du fil : Sophie, la secrétaire du PDG d’une entreprise cliente VIP : “Monsieur Dupont doit commencer une visio avec un partenaire dans 10 minutes et rien ne marche ! J’ai une liste de questions incompréhensibles de mes informaticiens… ‘pare-feu’ par ci, ‘proxy’ par là… Au secours !”.
Le technicien, soucieux d’aider une cliente importante, me propose évidemment de l’aide, et même de me connecter à un serveur et de partager son écran pour que je puisse lui décrire ce qui cloche.
Je récupère alors de nombreuses informations cruciales, comme la configuration du firewall de l’entreprise, la version de l’antivirus utilisé, etc., et même si je suis chanceux, il me donne un accès temporaire pour résoudre le problème.
Il est possible de pousser le vice jusqu’à faire des deepfakes vidéos et d’organiser une fausse conférence ou un faux appel. Vous trouvez ça trop futuriste ? C’est pourtant ce qui est arrivé à un employé de Hong Kong en 2024, qui a envoyé environ 20 millions de dollars à un pirate informatique qui l’avait piégé avec des deepfakes de plusieurs cadres séniors de son entreprise.
Craquer les serveurs : piratage technique
Supposons que, grâce à mon faux PDF envoyé, un employé me donne accès à sa machine. Mon objectif est maintenant de rebondir plus loin et plus profondément dans l’infrastructure de l’entreprise.
L’employé peut, par exemple, se connecter au serveur d’inventaire de l’entreprise qui tourne sur un logiciel un peu ancien que je soupçonne de ne pas être complètement à jour.
Je pourrais donc passer des heures à éplucher manuellement internet à la recherche d’une faille connue mais vous commencez à me connaitre et je vais donc plutôt demander à mon IA de le faire à ma place.
En décrivant la version du serveur et son comportement à un modèle de langage, je peux obtenir des pistes sur des vulnérabilités connues.
Ici, par exemple, je découvre qu’il existe un bug non corrigé permettant une exécution de code à distance sur ce serveur. Je rédige donc mon petit programme pour exploiter cette faille, mais je bute pendant l’écriture de mon code. Qu’à cela ne tienne, ChatGPT est encore une fois présent pour m’aider.
Ce scénario n’est pas fictif. Vitaly Simonovich, un chercheur qui étudie les menaces liées à l’IA chez Cato Networks, a généré un code imparfait, qu’il a ensuite fait déboguer par ChatGPT. En moins de 6 heures, M. Simonovich avait contourné les mesures de sécurité intégrées à ChatGPT et l’avait utilisé pour créer un logiciel malveillant fonctionnel.
Et gardez bien en tête que cette histoire date bel et bien de 2025, alors que de nombreux garde-fous ont été intégrés au LLM.
Une fois ce serveur compromis, je dispose d’une tête de pont suffisamment puissante pour faire à peu près ce que je veux. Généralement, les serveurs sont généralement connectés à d’autres ressources du réseau interne.
Je pourrais par exemple trouver le moyen d’accéder à la base de données centrale et causer potentiellement de gros dégâts, comme du vol de données de clients, du sabotage ou même rançonner l’accès aux données.
Pour jouer le scénario jusqu’au bout, je pourrais simuler une attaque de ransomware : via le serveur que je contrôle, j’envoie sur le réseau un programme qui chiffre tous les fichiers partagés et affiche un message “Vos fichiers sont chiffrés, payez une rançon”
Bilan et leçons
Heureusement pour Ambient-it, mon but n’était pas de leur causer du tort, mais bien de tester les bonnes pratiques des employés et la résilience de l’organisation face aux cyberattaques.
Bien sûr, dans la réalité, ces méthodes ne fonctionnent pas à tous les coups, mais on voit bien comment l’utilisation de l’IA les rend bien plus dangereuses et moins artisanales.
Maintenant, il ne me reste plus qu’à rendre mon rapport aux dirigeants de l’entreprise. Comme tous les employés sont concernés (et sont des cibles potentielles), l’idéal serait que mon rapport puisse s’adresser à tous et soit adapté à chaque type de poste.
Vous connaissez la rengaine : encore une fois ChatGPT va m’aider à écrire plusieurs rapports qui seront donc parfaitement compréhensibles pour chaque collaborateur.
En conclusion, j’espère que cette petite incursion narrative vous aura permis de comprendre comment un hacker éthique opère, en combinant ingéniosité humaine et puissance des outils IA.
Ce qui semblait être de la science-fiction il y a quelques années (des IA écrivant des virus, imitant des voix, contournant des systèmes) est devenu la réalité d’aujourd’hui.
Vous souhaitez prouver vos compétences en pentesting avec une certification qui prend en compte les mutations du secteur ? Notre formation OSCP de 5 jours vous permettra de passer l’examen avec succès et de démontrer votre expertise en cybersécurité.
