Cyberattaques: la Chine, la Russie, l’Iran et la Corée du Nord misent de plus en plus sur l’IA pour cibler les États-Unis

C'est une nouvelle guerre, qui ne dit pas son nom. La Chine a accusé, dimanche, les États-Unis d’avoir orchestré une cyberattaque contre son Centre horaire national, une institution stratégique chargée de synchroniser l’heure officielle du pays. Cette accusation survient dans un contexte géopolitique particulièrement tendu entre les deux puissances, à la fois sur le plan diplomatique, économique mais également technologique.

Mais les États-Unis ne sont pas engagés sur un seul front... et leurs adversaires redoublent d’ingéniosité. D’après une nouvelle étude de Microsoft, la Chine, mais également la Russie, l’Iran et la Corée du Nord ont considérablement intensifié leur recours à l’intelligence artificielle pour tromper les internautes et mener des cyberattaques contre l’Amérique.

En juillet dernier, l’entreprise a recensé plus de 200 cas d’acteurs étrangers utilisant l’IA pour créer de faux contenus en ligne, soit plus du double par rapport à 2024 et dix fois plus qu’en 2023. Publié jeudi dans le rapport annuel de Microsoft sur les menaces numériques, ce constat illustre la manière dont ces puissances exploitent l’intelligence artificielle comme un nouvel instrument d’espionnage et de désinformation.

L’IA leur permet ainsi d’automatiser leurs cyberattaques, de perfectionner leurs campagnes de manipulation et d’infiltrer des systèmes sensibles. Elle sert aussi à améliorer des e-mails de phishing ou à créer de faux profils de responsables officiels. Ces opérations visent à dérober des données confidentielles, perturber des services publics ou diffuser de fausses informations. Certains groupes, motivés par le profit ou soutenus par des États comme la Russie, figurent parmi les principaux acteurs de ces attaques mondiales.

"La principale cible des cyberattaques"

Les États-Unis restent la principale cible des cyberattaques, devant Israël et l’Ukraine, selon le rapport de Microsoft. Les criminels et acteurs étrangers s’attaquent aux entreprises, aux gouvernements et aux organisations américaines plus que partout ailleurs.

Le 15 octobre dernier, par exemple, l’entreprise américaine F5 (un fournisseur de solutions réseau pour les agences fédérales, NDLR) a confirmé une intrusion d’origine étatique. Quelques jours plus tard, entre le 18 et le 19 octobre, le FBI et d’autres institutions fédérales ont été victimes d’une fuite massive de données orchestrée par le groupe "The Com", exposant des informations d’agents du renseignement et du ministère de la Justice.

En juin dernier, le départment de la sécurité intérieur américain avertissait d’un risque de représailles numériques face aux frappes américaines contre les sites nucléaires iraniens, redoutant une vague de cyberattaques pro-iraniennes sur les réseaux d’énergie, de transport et de défense. La CISA et la NSA avaient même envisagé des scénarios d’opérations coordonnées Iran–Russie, "s’appuyant sur des campagnes de rançongiciels et de déni de service".

Accusations rejetées en bloc

De leur côté, la Russie, la Chine et l’Iran nient mener de cyberopérations offensives. La Chine accuse même les États-Unis de "diffamer" Pékin, tout en conduisant leurs propres attaques. Dans un communiqué transferé à l’Associated Press, la mission iranienne auprès de l’ONU a affirmé: "la République islamique d'Iran ne lance aucune forme d'opération cybernétique offensive contre un État quelconque. Cependant, en tant que victime de cyberopérations, elle répondra à toute menace de ce type d'une manière proportionnée à sa nature et à son ampleur."

La Corée du Nord, elle, utilise des identités américaines créées par IA pour postuler à des emplois technologiques à distance, permettant au régime d’empocher les salaires et aux pirates de voler des secrets ou d’installer des logiciels malveillants. Des pirates nord-coréens utilisent également des contrats intelligents de la blockchain pour installer des malwares. Une technique, appelée EtherHiding, que le Google Threat Intelligence Group a détecté et juge très difficile à contrecarrer.

"Le cyberespace est un jeu du chat et de la souris. L'accès, les données, l'information, l'argent: voilà ce qu'ils recherchent ", commente à l’Associated Press Nicole Jiang, PDG de Fable, une société de sécurité basée à San Francisco qui utilise l'IA pour détecter les faux employés.

Plusieurs autres attaques majeures ont été attribuées à un groupe nord-coréen, nommé Lazarus, considéré comme l’un des plus insaisissables au monde. Actif depuis 2009, il s’est fait connaître avec le piratage de Sony Pictures en 2014, puis le vol de 81 millions de dollars à la banque centrale du Bangladesh en 2016, une opération minutieusement préparée sur un an. Aucune attaque contre des actifs américains n’a, en revanche, été formellement prouvée, laissant planer un certain doute.