Cette veille a été réalisée le 8/04/2026

Cette veille a pour but de mettre en avant les risques associés aux IA génératives (générant texte, images, vidéos, codes informatiques…) dans le milieu de la cybersécurité et des systèmes. Le tout part d’une étude d’un rapport gouvernemental français paru le 2 février 2026.

Tout d’abord, qu’entend-t-on par l’utilisation de l’Intelligence Artificielle générative dans le cadre d’attaques informatiques ?

L’IA n’est, à ce jour en France et selon l’ANSSI, responsable d’aucune attaque informatique en tant qu’acteur de premier plan autonome, il n’existe à ce jour pas d’IA capable de manière indépendante d’attaquer un système d’information.
Cependant, il est noté comme probable que les IA génératives soient utilisées de manière complémentaire par divers types de cybercriminels afin de rendre des attaques plus efficaces et plus nombreuses. C’est ce dont nous allons traiter le long de cette veille en mettant en pratique les exemples d’utilisation d’intelligence artificielle recensés par l’ANSSI.

Dans un premier temps, entre 2024 et 2025, des cybercriminels affiliés au gouvernement Nord-Coréen appartenant au groupe MOA Lazarus auraient eu recours, selon les sources que dispose l’ANSSI aux services d’IA génératives afin de créer des faux profils d’entreprises et d’employés sur les réseaux sociaux, voir dans certains cas utiliser des deepfakes.

Dans un second temps, les opérateurs du MOA Charcoal Typhoon réputé lié à la Chine, qui auraient utilisé des services d’IA générative afin de créer des campagnes de phishing et récupérer des identifiants.

Ainsi, dans le but de comprendre comment un phishing peut être mis en place pour mieux les repérer et lutter contre, nous avons choisi de créer un site reprenant les codes d’un établissement scolaire français, amenant vers une page de connexion où les identifiants de connexion saisis seront sauvegardés.

Pour ce faire, nous décidons de générer un site internet ressemblant à celui d’une école, un site totalement fictif et en local afin de réaliser nos tests. Nous utilisons alors Claude Code qui nous permet de générer cette maquette :

Une fois la maquette du site réalisé, on demande à Claude d’y ajouter un bouton se connecter (en haut à droite sur l’image ci-dessus) qui renverra à une page de login ressemblant à cela :

Nous demandons ensuite à l’IA générative (car nous nous plaçons dans la peau d’un cybercriminel s’aidant quasiment exclusivement de l’IA) de récupérer et de sauvegarder dans un fichier l’ensemble des identifiants et mots de passe inscrits.

Ainsi, le tableau de bord de l’administrateur du site possède donc un journal des connexions avec les connexions refusées, si le site est semblable au site d’une autre école portant le même nom et avec un URL différent et que nous lancions une campagne importante de phishing par mail pour accéder à ce site frauduleux, nous pourrions donc, en théorie, récolter de nombreuses informations de connexions.

Enfin, le groupe MOA Lazarus (les agents affiliés au gouvernement Nord-Coréen) ont également créé et hébergé de faux sites avec l’IA générative dans le but d’héberger des charges malveillantes et d’effectuer de la caractérisation.

Encore une fois, une IA telle que Claude Code est suffisante pour développer ce type de site récoltant des informations dîtes de « caractérisation ».  Pour ce faire, nous avons réalisé un prompt qui a permis d’apporter quelques modifications au site scolaire précédemment conçu.

On peut voir toutes les fonctionnalités ici ajoutés, une fois sur le site, cela donne un tableau de bord administrateur avec toutes ces informations :

On voit bien que les informations sont réellement récoltées et peuvent être utilisées plus amplement pour déceler des vulnérabilités sur les clients tentant de se connecter au site.

Mais concrètement, comment se protéger de la caractérisation et du phishing ? C’est une question de sécurité important que l’on doit aborder.

Dans le cadre du phishing, il existe des méthodes et des habitudes efficaces pour lutter contre ce genre d’attaques :

• Vérifier les URLs et les adresses des expéditeurs des mails, si une adresse ne semble pas cohérente avec l’entreprise vous démarchant ou le site web visité, il faut éviter de s’y rendre ou de cliquer sur le contenu du mail
• De manière générale, il faut éviter de cliquer sur les liens qui vous sont présentés et taper l’adresse URL du vrai lien à la main sur un moteur de recherche.
• Activer la double authentification sur les sites vous le proposant. Cela va permettre, en cas de mot de passe volé de bloquer l’adresse, du moins tant que l’attaque n’utilise pas les tokens de votre ordinateur.
• Utiliser un gestionnaire de mots de passe, cela vous permettra d’une première part d’avoir des mots de passes différents et plus sécurisés en cas de compromission, mais aussi de remarquer qu’un site n’est pas le bon quand l’auto-complétition du mot de passe ne s’effectue pas.
• Former les utilisateurs, la faille la plus recherchée par les cybercriminels sont les failles humaines.

Ensuite, dans le cadre des faux sites usurpant l’identité d’entreprises ou d’organisations, il faut :

• Vérifier l’URL à 100%
• Ne donner sa confiance aveugle à un site car il est en https (l’icône cadenas sur google)
• Utiliser des extensions anti-phishing, de nombreuses applications antivirales et extensions internet permettent de notifier lorsqu’un site semble frauduleux.
• Mise à jour des OS et des navigateurs utilisés

Enfin, la caractérisation (reconnaissance) peut également être contrée via ces façons :

• Utilisation d’un VPN pour masquer son IP et sa localisation
• Utiliser des bloqueurs de scripts pour bloquer le tracking
• Désactiver les cookies
• Avoir un pare-feu actif
  
  
  

ANSSI

DGSI