Le mois dernier, le gouvernement mexicain a été victime d'un piratage informatique. 150 Go de données gouvernementales ont été volées, dont 195 millions de dossiers fiscaux. Cette attaque a exploité plusieurs dizaines de failles dans dix institutions. Autrefois, il aurait probablement fallu plusieurs mois à une équipe expérimentée pour parvenir à un tel résultat.
Mais bien sûr, nous vivons à une nouvelle ère. Cette attaque a été menée par une seule personne et son assistant Claude Code. En un peu plus d'un millier d'instructions, ce pirate informatique et son acolyte IA ont utilisé des mouvements latéraux complets, l'exfiltration automatisée, des scripts d'exploitation et le credential stuffing pour mener à bien leur manœuvre. Imaginez les dégâts si cet attaquant avait utilisé des outils plus sophistiqués et disposé d'une équipe entière !
Cette attaque nous confronte au fait que n'importe qui peut soudainement se proclamer hacker et réaliser des vols importants avec seulement un abonnement commercial à une IA et de la persévérance. C'est une toute nouvelle donne, et les outils d'IA ont donné un énorme avantage à ceux qui agissent en premier. Les hackers disposent désormais d'outils surpuissants. Mais l'IA peut également donner les mêmes superpouvoirs aux défenseurs et aux protecteurs.
Les attaquants ont déjà leurs jouets surpuissants
Les pirates informatiques s'amusent avec ces super jouets depuis un certain temps déjà, bien avant que de nombreuses équipes de sécurité ne commencent à réfléchir à la défense contre l'IA.
Selon le rapport mondial sur les menaces 2026CrowdStrike, les attaques basées sur l'IA ont augmenté de 89 % d'une année sur l'autre. Le temps moyen entre l'accès initial et le déplacement latéral est désormais de 29 minutes. La percée la plus rapide observée dans leur base de données s'est produite en 27 secondes.
L'IA attire également toute une nouvelle génération d'acteurs malveillants. Les pirates informatiques devaient traditionnellement être doués pour certaines tâches hautement spécialisées, à l'exception peut-être du phishing et du credential stuffing basique. Écrire du code d'exploitation et dépanner des logiciels malveillants ne posent plus aucun problème aujourd'hui. Un seul acteur malveillant peut générer une boîte à outils complète à l'aide d'un assistant IA. Le niveau de compétence requis a rapidement baissé, et à mesure que l'IA devient plus intelligente, les attaquants n'ont plus besoin de l'être.
L'attaquant mexicain se situait peut-être quelque part au milieu du spectre des compétences. Il disposait de suffisamment de connaissances pour obtenir un accès initial de manière indépendante, et il a mis au point un jailbreak fonctionnel grâce à sa persévérance, reformulant l'attaque comme une mission de recherche de bogues jusqu'à ce que Claude cède. Mais certains éléments indiquaient que cet attaquant n'était pas un professionnel. Il a laissé l'intégralité du journal des conversations dans un endroit public ( un attaquant sophistiqué efface mieux ses traces). Les journaux montraient également que l'attaquant demandait à Claude en temps réel quelles autres agences attaquer ensuite, ce qui suggère que la campagne était en partie opportuniste plutôt que le fruit d'un plan bien conçu dès le départ. Il avait suffisamment de compétences pour franchir la porte, mais c'est Claude qui a fait le vrai travail ici.
Alors que l'attaquant disposait de certaines connaissances en matière de piratage, une nouvelle vague de pirates informatiques utilisant l'IA ont très peu de connaissances techniques. La campagne FortiGate, documentée par Amazon renseignement sur les menaces février 2026, en est un exemple. Un attaquant aux compétences techniques relativement faibles a compromis plus de 600 pare-feu FortiGate dans 55 pays en cinq semaines. Pas de zero-days. Aucune technique novatrice. Le pirate informatique a obtenu un accès initial en recherchant les ports de gestion exposés et en essayant des identifiants couramment réutilisés. L'IA a ensuite pris le relais, créant les plans d'attaque, écrivant les outils et, dans certains cas, exécutant des outils offensifs sans que l'attaquant n'approuve chaque commande. Lorsque l'attaquant rencontrait des cibles qu'il ne pouvait pas gérer, il passait simplement à autre chose. L'IA lui a donné l'air compétent jusqu'à ce qu'elle ne puisse plus le faire, puis ses capacités réelles ont été révélées.
Les pirates informatiques avaient autrefois des compétences exceptionnelles. Ce n'est plus nécessaire aujourd'hui, et les barrières à l'entrée continueront de s'abaisser.
Les défenseurs ont besoin de leur propre mise à niveau
Les protecteurs ne peuvent plus se fier aux outils et aux systèmes utilisés auparavant. Les attaques contre Mexico et FortiGate ont confirmé que l'IA est capable d'analyser rapidement des chaînes de vulnérabilités complexes afin de les exploiter à grande échelle. La même IA qui a écrit des scripts d'exploitation et cartographié les chemins de déplacement latéral pour un attaquant isolé peut, et doit, fonctionner à l'inverse pour votre équipe de sécurité. Donnez cette capacité aux défenseurs, et ils pourront trouver ces chaînes avant les attaquants.
Les défenseurs doivent combattre l'IA avec l'IA. La détection basée sur les signatures ne dispose d'aucun modèle permettant de comparer un script inventé à la volée et qui n'a jamais existé auparavant. SAST ce qu'il a été formé à reconnaître, mais ne dispose d'aucun cadre pour une chaîne de vulnérabilités assemblée en temps réel par une IA à partir de votre base de code spécifique. Si l'IA génère de nouvelles voies d'attaque auxquelles les pentesteurs humains ne penseraient pas, la seule façon de trouver ces voies avant un attaquant est d'exécuter d'abord l'IA sur votre propre application.
L'IA permet aux défenseurs d'accomplir des tâches qui étaient auparavant hors de portée. Un seul ingénieur en sécurité peut désormais accomplir plus qu'une équipe rouge complète en termes de rapidité, de profondeur et de couverture. Au lieu de choisir les parties de l'application à tester avant une mise en production, pentest IA continu pentest IA vous pentest IA tout tester, à chaque déploiement, grâce à des agents IA qui exécutent des centaines de chemins d'attaque en parallèle et transmettent les résultats en temps réel. Les équipes peuvent opérer à une échelle différente et réduire le temps pendant lequel l'application reste non testée.
Enfilez votre costume et partez
Les pirates informatiques du Mexique et de FortiGate ont réussi parce qu'ils disposaient de mises à niveau IA surpuissantes. Les vulnérabilités seront plus faciles à trouver pour les pirates informatiques, et davantage de personnes malintentionnées vont s'y intéresser. Les défenseurs ont besoin de leurs propres outils surpuissants pour se défendre contre les pirates informatiques qui disposent de leurs propres super-armes.
Prenons l'exemple de Tony Stark, ingénieur et stratège de génie. Équipé de son armure Iron Man et de JARVIS, il est un super-héros à part entière. L'IA et l'armure gèrent les opérations, tandis que Stark prend les décisions. Ensemble, ils sont invincibles.
Aikido est la solution ultra-puissante pour les équipes de sécurité. pentest IA continu pentest IA comme une équipe de hackers d'élite entièrement dédiée à votre application, à chaque déploiement, 24 heures sur 24. Vos meilleurs éléments Top 10 OWASP trier Top 10 OWASP et peuvent se concentrer sur des batailles plus importantes. Pour en savoir plus sur son fonctionnement, consultez l'article sur le lancement du produit Infinite.
Les attaquants ont désormais leurs combinaisons. Aikido est à vous. Enfilez vos combinaisons.
