Amin Hasbini, expert de la chasse aux menaces chez Kaspersky, explique comment l’intelligence artificielle révolutionne la cybersécurité et favorise les cybercriminels.
![]() |
Amin Hasbini, directeur régional de recherche de la chasse aux menaces chez Kaspersky
[En partenariat avec Kaspersky]
Comment l’intelligence artificielle est-elle utilisée par les cybercriminels ?
L’IA a radicalement transformé la cybercriminalité. Les cybercriminels exploitent des modèles open source comme LLaMA ou Quant pour créer leurs propres IA génératives malveillantes, à l’image d’outils comme Evil GPT ou Wolf GPT. Ces technologies leur permettent d’automatiser des tâches complexes, comme la génération massive de fichiers malveillants ou la personnalisation de campagnes de phishing. Par exemple, nous avons détecté en 2024 jusqu’à 467 000 nouveaux fichiers malveillants par jour, un record qui montre à quel point l’IA amplifie leur capacité d’action.
Pourquoi ces IA sont-elles si efficaces pour les attaques ?
Contrairement aux outils en ligne comme ChatGPT, les IA utilisées par les cybercriminels sont installées localement, ce qui leur permet de les configurer et de les entraîner en toute discrétion. Cela rend leurs attaques plus difficiles à détecter. Ces IA peuvent également automatiser l’identification des vulnérabilités dans les systèmes, développer des exploits zero-day et même simuler des interactions humaines pour tromper les défenses. En somme, elles rendent les attaques plus rapides, plus sophistiquées, et souvent impossibles à anticiper.
Cette menace peut-elle être contenue ?
C’est un défi majeur, mais il n’est pas insurmontable. Nous utilisons également l’IA pour combattre ces menaces. Par exemple, nos algorithmes de machine learning analysent quotidiennement des millions de fichiers pour repérer et bloquer les menaces émergentes. Cela dit, il est essentiel de réglementer l’accès aux technologies critiques, comme les modèles open source et les infrastructures matérielles, pour limiter leur usage malveillant. L’éducation et la prévention restent également des outils indispensables pour protéger les utilisateurs et les entreprises face à cette nouvelle ère de cybercriminalité.
Transcription :
Amin Hasbini:
[0:01] Si on compare l'évolution des fichiers malicieux détectés chez nous, chez Kaspersky, depuis l'année 2020, aujourd'hui, nous sommes pour 2024 à 467 000 fichiers, nouveaux fichiers par jour.
Monde Numérique :
[0:17] Et on va se pencher sur ce qui nous attend en 2025 en matière de cybersécurité et de cybercriminalité. Bonjour Amin Hasbini.
Amin Hasbini:
[0:27] Bonjour.
Monde Numérique :
[0:27] Vous êtes directeur régional de recherche de la chasse aux menaces chez Kaspersky. Vous avez réalisé plusieurs études qui montrent que les cybercriminels utilisent de plus en plus l'intelligence artificielle pour commettre leurs méfaits. Expliquez-nous ça. Je précise que cette interview est réalisée dans le cadre d'un partenariat entre Kaspersky et Monde Numérique.
Amin Hasbini:
[0:49] Oui, exactement. Il y a des modèles, ce qui s'appelle les LLM, Language Learning Models. C'est des modèles de IA qui peuvent être installés dans des systèmes dédiés, pas en ligne. Ils peuvent faire un fonctionnement, ils peuvent être configurés, entraînés, etc.
Monde Numérique :
[1:08] C'est-à-dire qu'ils ont leur propre chat GPT, en fait, mais qu'ils sont spécialement entraînés pour faire des cyberattaques.
Amin Hasbini:
[1:14] Bien sûr, les cybercriminels, ils n'ont pas toujours les mêmes capacités que, par exemple, les grandes entreprises de technologie ou les États, etc. Mais ils ont certainement des capacités qui ne sont pas négligeables et qui permettent de faire des dégâts. Surtout quand ça se développe d'une façon un peu cachée et privée, pas en ligne, personne ne peut voir. Ils peuvent développer certaines fonctionnalités et après les utiliser. Après, il y a l'écosystème du marché noir qui permet de vendre et de travailler ces services. Donc, il y a surtout maintenant sur le marché noir, il y a plusieurs types de chat GPT, mais plutôt orientés à la criminalité, comme Evil GPT ou Wolf GPT, etc. Et c'est ce type de GPT qui aide les groupes d'attaque, et,
Amin Hasbini:
[2:12] créer des nouvelles menaces, créer des fichiers malicieux beaucoup plus rapidement qu'au passé.
Monde Numérique :
[2:19] Vous avez des exemples de choses qui ont été faites comme ça,
Monde Numérique :
[2:22] qui ont été générées comme ça ?
Amin Hasbini:
[2:24] Si on compare l'évolution des fichiers malicieux détectés chez nous, chez Kaspersky, depuis l'année 2020, aujourd'hui, nous sommes pour 2024 à 467 000 fichiers, nouveaux fichiers par jour. C'est immense, c'est vrai, mais ce qui est différent, c'est qu'entre les années 2020 et 2023, on a fait entre 3 et 5,7 maximum d'augmentation par année.
Monde Numérique :
[2:52] Donc ça s'est emballé en 2024, c'est ça que vous voulez dire ?
Amin Hasbini:
[2:54] Du nombre de fichiers malicieux par jour.
Amin Hasbini:
[2:59] Et là, en 2024, nous sommes à 14% d'augmentation par rapport à 2023.
Monde Numérique :
[3:07] Et j'imagine qu'en 2025, ça va être pire.
Amin Hasbini:
[3:10] On peut imaginer qu'en 2025, l'évolution pourrait continuer. D'une autre manière aussi, on a fait une étude l'année dernière sur les emails de phishing. C'était un grand projet qui a analysé 8 millions de fichiers malicieux, des fichiers d'email malicieux. On a fait ce qui s'appelle l'analyse linguistique des emails qui permet de faire une détection des mots les plus utilisés par les variations de GPT. Les LLM comme ChatGPT, ils utilisent certains mots plus que les autres. Et alors il y a des algorithmes qui permettent de faire une détection si un certain texte, si certaines phrases sont plus ou moins écrites par un ChatGPT ou une variation. Et donc là, on a trouvé que début de l'année dernière, on était à 21% d'emails de phishing qui étaient suspects d'être écrits par des bots, par des robots, par des GPT. C'est du phishing, c'est des emails malicieux qui essayent de faire de la collection de données, collection d'informations financières, etc.
Monde Numérique :
[4:21] Mais c'est quoi les tendances ? Je me fais passer pour votre banque ? Je me fais passer pour une star de cinéma ? Qu'est-ce que vous repérez le plus ?
Amin Hasbini:
[4:29] C'est 8 millions de fichiers. Donc, c'est vraiment...
Monde Numérique :
[4:34] Pourquoi est-ce que les cyberpirates ont intérêt à avoir leur propre LLM ? Ils ne peuvent pas utiliser tout simplement ChatGPT comme tout le monde ?
Amin Hasbini:
[4:43] C'est juste que quand on installe un LLM local, on a la capacité de le configurer, de l'entraîner, de changer son fonctionnement. Et tout est privé, tout reste dedans, tout reste ici. Et ce n'est pas quelque chose qui est possible quand on travaille avec un service en ligne.
Monde Numérique :
[5:02] Les modèles utilisés, c'est quoi ? C'est des modèles qu'on connaît ? C'est de l'open source ? Ils utilisent quel type de LLM ?
Amin Hasbini:
[5:10] Exactement, c'est bien dit. C'est des modèles open source, la plupart du temps basés sur des variations de LLaMA ou Quant ou des autres modèles open source.
Monde Numérique :
[5:22] C'est un peu le revers de la médaille de l'open source, ça, finalement ?
Amin Hasbini:
[5:26] Oui, exactement.
Monde Numérique :
[5:30] Donc, on peut dire que vraiment, l'IA et ses outils d'IA ont décuplé les moyens des cybercriminels ces dernières années ?
Amin Hasbini:
[5:36] On peut dire que ça évolue partout et nécessairement c'est une évolution dans la bonne direction mais un peu aussi dans la mauvaise direction. Espérons que ça ne sera pas beaucoup dans la mauvaise direction. Nous sommes en train d'attendre maintenant nous sommes en train de chercher maintenant, comme je travaille dans la chasse des menaces, nous recherchons et nous traquons les groupes d'attaque. Et ce qui se passe, c'est qu'on attend maintenant, dans nos observations, de voir un comportement d'agent, agent d'attaque, agent automatique, qui infiltre une entreprise,
Amin Hasbini:
[6:16] qui saute entre les serveurs ou les systèmes en secondes.
Monde Numérique :
[6:22] Alors, attendez, pour qu'on comprenne bien, en quelques mots, dans un langage simple, c'est quoi un agent ? Moi, je le sais, mais les gens qui nous écoutent ne le savent pas forcément. C'est quoi un agent d'IA ? Qu'est-ce que ça changera ?
Amin Hasbini:
[6:33] Un agent d'IA, c'est comme un employé, c'est comme un système virtuel qui fait le travail d'une personne. Et quand installé dans un système, dans une entreprise, il va essayer de faire la collection des données importantes, il va essayer de cibler les serveurs, de faire même la prédiction où chercher les données importantes, et de les envoyer vers l'entité qui le gèrent ou les serveurs des groupes d'attaque.
Monde Numérique :
[7:03] Donc, ça va beaucoup plus loin qu'un simple code malicieux.
Amin Hasbini:
[7:06] Et beaucoup plus vite aussi.
Monde Numérique :
[7:07] Oui, il peut passer d'une application à une autre, etc.
Amin Hasbini:
[7:11] Oui, exactement. Il peut passer entre les applications, entre les systèmes, sur les réseaux. Ils peuvent faire la recherche automatique des vulnérabilités dans des entreprises pour les exploiter. Ou parfois, dans des cas...
Amin Hasbini:
[7:26] Un peu futuristique ou un peu avancé, peut-être des capacités qui ne sont pas disponibles pour tout le monde, mais peut-être développer des exploits ou des zero-day, des exploitations, des capabilités pour dépasser les paramètres de défense ou les systèmes de défense.
Monde Numérique :
[7:45] Les zero-day, c'est des failles qui n'ont jamais été exploitées, en fait, c'est ça ?
Amin Hasbini:
[7:50] Exactement. Et pas exploité et pas fermé aussi.
Monde Numérique :
[7:55] Oui, pas colmaté, paré-paré.
Amin Hasbini:
[7:57] Paré-paré aussi, oui, bien sûr.
Monde Numérique :
[7:58] Oui, bien sûr. Amin Asbini, bon, face à cette menace, est-ce que vous aussi, professionnel de la cyber-défense et de la cyber-sécurité, l'IA est également pour vous une aide ? Est-ce que vous utilisez également, vous, l'intelligence artificielle face à cette nouvelle cyber-menace ?
Amin Hasbini:
[8:16] Nécessairement. Ça fait longtemps qu'on utilise le machine learning chez Kaspersky. Plus que 20 ans, en fait, que nos programmes déploient ou impliquent des codes ou des algorithmes de machine learning qui aident à la détection et à éviter les dangers chez les utilisateurs. Cela dit, nous avons des nouveaux projets aussi qui font la recherche aux menaces aussi. Donc là, j'ai travaillé sur un projet l'année dernière de machine learning qui a permis de faire la chasse aux menaces partiellement dans les données de télémétrie. Donc là, notre rôle, c'est la chasse aux menaces. on a dû concevoir un robot qui va regarder des millions de fichiers chaque jour et qui va nous dire « Ah voilà, moi j'ai trouvé 10 000 de ces fichiers qui vont être les plus malicieux, les plus suspicieux, et qui vont permettre de détecter des nouvelles menaces, des nouveaux attaques
Amin Hasbini:
[9:20] ciblant les utilisateurs, mais surtout aussi les entreprises.
Monde Numérique :
[9:25] Est-ce que la réglementation peut aider à endiguer ce phénomène ?
Amin Hasbini:
[9:30] En fait, c'est comme la course nucléaire. En fait, si on ne contrôle pas, si on ne réglemente pas, si on ne soit pas en agrément au niveau global, ça pourrait aller dans le mauvais sens très vite.
Monde Numérique :
[9:42] Mais réglementer, ça veut dire quoi ? Parce qu'on pourra faire des règlements, ce n'est pas ça qui va empêcher les cybercriminels d'utiliser des LLM. C'est la réglementation sur quoi ? Sur la diffusion des codes, etc.
Amin Hasbini:
[9:53] ? Ça doit être au niveau de l'accès aux technologies, l'accès aux services, à l'accès au hardware aussi. Donc l'accès au matériel qui pourrait être utilisé pour développer ce type de technologie.
Monde Numérique :
[10:07] Il faudrait que l'accès au data center, les ventes de cartes graphiques par exemple, enfin de cartes graphiques, oui les ventes de calculateurs d'IA soient encadrées ?
Amin Hasbini:
[10:20] Exactement et nous sommes là déjà sur des capacités, alors c'est pas tout le monde qui a des milliards de dollars, des billions de dollars, mais voilà c'est juste que l'accès au hardware doit être très bien contrôlé aussi. Les derniers data centers de NVIDIA, ils peuvent faire théoriquement plus que la capacité humaine de processing, de pensée en petaflops. C'est très cher, bien sûr, mais c'est très cher maintenant. Et c'est ce type de data centers qui peuvent facilement faire un développement de code. On peut imaginer que ChatGPT, c'est un outil qui sert 10 millions de personnes chaque jour. Et on peut créer un fichier malicieux dans 5 secondes et on peut nécessairement en même temps observer que d'ici quelques années, ça pourrait aller mal très vite.
Monde Numérique :
[11:19] Récemment au CES de Las Vegas, NVIDIA a présenté un nouveau petit calculateur, un petit ordinateur présenté comme hyper puissant. C'est 1000 fois la puissance d'un ordinateur actuel. C'est l'équivalent d'un data center qu'on peut installer sur son bureau et qui coûte à peine 3 000 dollars. C'est hyper séduisant pour une utilisation saine, on va dire, de l'intelligence artificielle.
Monde Numérique :
[11:42] Mais là, finalement, c'est une arme potentielle pour les cybercriminels, ce type de matériel également.
Amin Hasbini:
[11:47] Nécessairement, nécessairement. On parle pas seulement de l'accès au hardware pour le développement de codes malicieux, mais aussi au niveau biologique, médical, aussi la capacité de faire des recherches de développement de virus, par exemple, menaces humaines contre les humains, menaces virologiques, virus réels. Ce n'est pas simple. On n'est pas là au niveau utilisateur au moment. Le grand danger, c'est plutôt l'accès aux data centers, les grands data centers. Et là, on parle plutôt des capabilités niveau état. Parfois, il y a des groupes d'attaques qui peuvent faire une compromission des data centers dans un autre état et les utiliser pour des, objectifs malicieux.
Monde Numérique :
[12:41] Ah ouais, sans qu'on s'en rende compte ?
Amin Hasbini:
[12:43] Sans qu'on s'en rende compte, sans qu'on sait ça vient d'où, etc.
Monde Numérique :
[12:48] On sait qu'aujourd'hui, les réseaux de cybercriminals sont de vrais réseaux
Monde Numérique :
[12:51] mafieux, donc ils ont des moyens aussi, ils ont des compétences techniques et ils ont de l'argent.
Amin Hasbini:
[12:56] Oui, ils ont les cartels et les mafias, ils ont les capabilités. Pareil pour si les armes nucléaires étaient disponibles pour achat, peut-être.
Monde Numérique :
[13:08] Ouais, c'est exactement ça. C'est comme si on imaginait de la libre circulation de composants d'armes nucléaires ou bactériologiques, etc. Mais c'est intéressant parce qu'on comprend bien de manière concrète la menace que ça représente et ça éclaire mieux les mises en garde que certains peuvent faire par rapport à ça. Quand on dit que l'IA est une opportunité fantastique et c'est aussi une menace très importante.
Amin Hasbini:
[13:35] En même temps, les États, ils sont dans ce dilemme. Est-ce qu'on veut faire la course économique, le développement, ou est-ce qu'on veut se méfier ? Et se méfier, ça va avec limiter l'accès, limiter le potentiel peut-être aussi,
Amin Hasbini:
[13:54] ce qui est un dilemme très très dur.
Monde Numérique :
[13:57] Est-ce qu'il y a encore des conseils à donner aux utilisateurs face à ça ? Alors que ce soit les utilisateurs privés ou les entreprises, on a l'impression qu'elles ne peuvent pas faire grand-chose à part regarder les trains passer finalement ?
Amin Hasbini:
[14:12] Ça dépend. Ça dépend des capacités, ça dépend de l'utilisateur. L'utilisateur normal, chacun a des responsabilités. C'est une responsabilité partagée de s'éduquer sur les cybermenaces, de voir comment une attaque pourrait abuser de nos systèmes, de nos services. Nous sommes dépendants sur la technologie ces jours-là. Et avec cela vient cette responsabilité qu'on a besoin de gérer les systèmes dans les entreprises, comme dans la famille, etc., comme le Wi-Fi de la maison aussi. Et il faut surtout s'éduquer sur les menaces pour éviter les dangers. Et après, bien sûr, mettre à jour les appareils et les logiciels de façon régulière. Utiliser un minimum de défense. les applications de défense au niveau utilisateur, au niveau mobile, les téléphones, mais aussi au niveau des entreprises. Au niveau des entreprises, il y a des mécanismes de défense multilayered, plusieurs étapes, plusieurs couches. C'est facile.
Amin Hasbini:
[15:22] Ça dépend. Faire attention à ce qu'on reçoit sur les SMS, les e-mails, faire attention, à se méfier des Wi-Fi. On a fait une étude autour des Olympiades au début de l'année dernière et on a trouvé que proche de 25% des Wi-Fi à Paris n'était pas suffisamment sécurisé contre quelqu'un qui veut écouter le trafic ou se mettre au milieu pour écouter l'envoi et la réception. qui peuvent, voilà.
Monde Numérique :
[15:57] Donc, contre ça, ne jamais utiliser des Wi-Fi ouverts sans VPN, par exemple.
Amin Hasbini:
[16:03] Se méfier, se méfier, Wi-Fi dans les hôtels, dans les restos, dans les aéroports, même parfois dans la maison, si on n'est pas bien éduqué, si on ne sait pas ce qu'on a à la maison, on peut avoir des systèmes qui n'ont pas de mise à jour, qui peuvent être exploités par n'importe qui dans quelques secondes. Voilà, il faut se méfier. il faut se mafier.
Monde Numérique :
[16:26] Merci beaucoup Amin Hasbini, directeur régional de recherche de la chasse aux menaces chez Kaspersky.