Le mois dernier, le gouvernement mexicain a été piraté. 150 Go de données gouvernementales ont été volés, y compris 195 millions de dossiers de contribuables. Cette attaque a exploité une vingtaine de vulnérabilités au sein de dix institutions. Par le passé, cela aurait probablement pris des mois à une équipe qualifiée pour déjouer.
Mais bien sûr, nous vivons une nouvelle ère. Cette attaque a été exécutée par une seule personne et son assistant Claude Code. En un peu plus d'un millier de prompts, ce hacker et son acolyte IA ont utilisé des mouvements latéraux complets, l'exfiltration automatisée, le scripting d'exploits et le credential stuffing pour réaliser la manœuvre. Imaginez les dégâts si cet attaquant avait utilisé des outils plus sophistiqués et disposait d'une équipe entière !
Ce que cette attaque nous révèle, c'est que des individus peuvent soudainement se proclamer hackers et réaliser des coups d'éclat majeurs avec une simple souscription à une IA commerciale et de la persévérance. C'est une toute nouvelle donne, et les outils d'IA ont conféré un avantage considérable à ceux qui agissent les premiers. Les hackers disposent désormais de jouets surpuissants. Mais l'IA peut également conférer le même superpouvoir aux défenseurs et aux protecteurs.
Les attaquants disposent déjà de leurs jouets surpuissants
Les attaquants jouent avec ces super jouets depuis un certain temps, plus longtemps que de nombreuses équipes de sécurité n'ont réfléchi à la défense basée sur l'IA.
Selon le Rapport mondial sur les menaces 2026 de CrowdStrike, les attaques basées sur l'IA ont augmenté de 89 % d'une année sur l'autre. Le temps moyen entre l'accès initial et le mouvement latéral est désormais de 29 minutes. La percée la plus rapide observée dans leur ensemble de données s'est produite en 27 secondes.
L'IA attire également une toute nouvelle génération d'acteurs de la menace. Traditionnellement, les hackers devaient exceller dans des tâches hautement qualifiées, à l'exception peut-être du phishing et du credential stuffing de base. Écrire du code d'exploit et dépanner des malwares ne sont plus que des problèmes de prompt. Un seul acteur malveillant peut générer une boîte à outils complète avec l'aide d'un assistant IA. Le niveau de compétence requis a rapidement chuté, et à mesure que l'IA devient plus intelligente, les attaquants n'ont plus besoin de l'être.
L'attaquant au Mexique se situait peut-être quelque part au milieu du spectre des compétences. Il avait suffisamment de connaissances pour obtenir un accès initial de manière autonome, et il a conçu un jailbreak fonctionnel par persévérance, recadrant l'attaque comme un engagement de bug bounty jusqu'à ce que Claude cède. Mais il y avait des preuves que cet attaquant n'était pas un professionnel. Il a laissé l'intégralité du journal de conversation dans un emplacement public (un attaquant sophistiqué masque mieux ses traces). Les journaux montraient également l'attaquant demandant à Claude en temps réel quelles autres agences cibler ensuite, suggérant que la campagne était en partie opportuniste plutôt qu'un plan bien élaboré dès le départ. Il avait suffisamment de compétences pour s'introduire, mais Claude a fait le vrai travail ici.
Bien que l'attaquant ait eu quelques connaissances en hacking, une nouvelle vague de hackers utilisant l'IA possède très peu de connaissances techniques. La campagne FortiGate, documentée par Amazon Threat Intelligence en février 2026, en est un exemple. Un attaquant avec des compétences techniques relativement faibles a compromis plus de 600 pare-feu FortiGate dans 55 pays en cinq semaines. Pas de zero-days. Pas de techniques novatrices. Le hacker a obtenu un accès initial en scannant les ports de gestion exposés et en essayant des identifiants couramment réutilisés. Ensuite, l'IA a pris le relais, créant les plans d'attaque, écrivant les outils et, dans certains cas, exécutant des outils offensifs sans que l'attaquant n'approuve chaque commande. Lorsque l'attaquant rencontrait des cibles qu'il ne pouvait pas gérer, il passait simplement à autre chose. L'IA les a fait paraître capables jusqu'à ce qu'elle ne le puisse plus, et c'est alors que leur réelle capacité s'est manifestée.
Les attaquants avaient autrefois des compétences exceptionnelles. Ils n'en ont plus besoin, et la barrière à l'entrée continuera de baisser.
Les défenseurs ont besoin de leur propre mise à niveau
Les protecteurs ne peuvent plus se fier aux outils et systèmes d'antan. Ce que les attaques au Mexique et sur FortiGate ont confirmé, c'est que l'IA peut raisonner à travers des chaînes de vulnérabilités complexes suffisamment rapidement pour les rendre exploitables à grande échelle. La même IA qui a écrit des scripts d'exploit et cartographié des chemins de mouvement latéral pour un attaquant solitaire peut, et doit, fonctionner en sens inverse pour votre équipe de sécurité. Donnez cette capacité aux défenseurs, et ils pourront trouver ces chaînes avant qu'un attaquant ne le fasse.
Les défenseurs doivent combattre l'IA avec l'IA. La détection basée sur les signatures n'a aucun modèle à faire correspondre à un script inventé à la volée et qui n'a jamais existé auparavant. Le SAST détecte ce qu'il a été entraîné à reconnaître, et n'a pas de cadre pour une chaîne de vulnérabilités qu'une IA aurait assemblée en temps réel à partir de votre base de code spécifique. Si l'IA génère de nouvelles voies d'attaque que les pentesteurs humains ne penseraient pas à essayer, la seule façon de trouver ces chemins avant un attaquant est d'exécuter l'IA sur votre propre application en premier.
L'IA rend les défenseurs capables de choses qui étaient auparavant hors de portée. Un seul ingénieur en sécurité peut désormais accomplir plus qu'une équipe rouge complète, en termes de vitesse, de profondeur et de couverture. Au lieu de choisir quelles parties de l'application tester avant une publication, le pentest IA continu vous permet de tout tester, à chaque déploiement, avec des agents IA parcourant des centaines de chemins d'attaque en parallèle et renvoyant les résultats au processus en temps réel. Les équipes peuvent opérer à une échelle différente et réduire la fenêtre de temps pendant laquelle l'application reste non testée.
Équipez-vous et agissez
Les attaquants au Mexique et sur FortiGate ont réussi parce qu'ils disposaient de mises à niveau IA surpuissantes. Les vulnérabilités vont être plus faciles à trouver pour les hackers, et de plus en plus d'acteurs malveillants vont s'y intéresser. Les défenseurs ont besoin de leurs propres jouets superpuissants pour se défendre contre les hackers munis de leurs propres super armes.
Considérez Tony Stark, un ingénieur et stratège de génie à part entière. Équipé de l'armure Iron Man et de JARVIS, il est un super-héros à part entière. L'IA et l'armure gèrent l'échelle tandis que Stark prend les décisions. Ensemble, ils sont imbattables.
Aikido Infinite est l'armure superpuissante pour les équipes de sécurité. Le pentest IA continu agit comme une équipe de hackers d'élite entièrement dédiée à votre application, à chaque déploiement, 24h/24. Vos meilleurs éléments cessent de trier le Top 10 OWASP pour toujours et se remettent à mener les batailles plus importantes. Découvrez-en plus sur son fonctionnement dans le billet de lancement du produit Infinite.
Les attaquants ont leurs armures maintenant. Aikido Infinite est la vôtre. Équipez-vous.
