L’intelligence artificielle, nouvelle frontière des cyberattaques
ESET Research a publié son rapport sur les menaces du premier semestre 2026, une étude qui couvre la période allant de décembre 2025 à mai 2026 et s’appuie sur la télémétrie mondiale de l’éditeur ainsi que sur les travaux de ses équipes de recherche et de détection. Le constat central du document est sans ambiguïté : les cybercriminels intègrent désormais l’intelligence artificielle à toutes les étapes de leurs opérations, de la préparation des attaques jusqu’à leur exécution technique.
Les chercheurs d’ESET ont passé au crible près de 900 000 AI skills, ces petits modules fonctionnels conçus pour étendre les capacités des agents IA. Cette analyse a permis d’identifier des dizaines de milliers d’instances suspectes, parmi lesquelles plusieurs milliers présentent un caractère franchement malveillant. Certaines s’appuient sur des outils offensifs bien connus des équipes de sécurité, comme Mimikatz ou Impacket, tandis que d’autres intègrent des mécanismes d’auto-modification censés assurer leur persistance, au risque de générer des comportements imprévisibles ou d’être détournés par des tiers malintentionnés. Le rapport pointe également l’existence d’outils se présentant comme des scanners de sécurité mais qui se limitent, en réalité, à des vérifications sommaires ou à une simple consultation de services de réputation comme VirusTotal, créant un faux sentiment de protection chez leurs utilisateurs.
Signe le plus marquant de cette convergence entre IA et cybercriminalité, ESET a mis au jour PromptSpy, présenté comme le premier malware Android connu à intégrer un modèle d’IA générative directement dans son processus d’exécution. Pour Jiří Kropáč, directeur des laboratoires de prévention des menaces d’ESET, cette découverte illustre une tendance de fond plutôt qu’un cas isolé.
Les attaquants ne misent pas uniquement sur de nouvelles techniques, mais ils combinent des méthodes éprouvées avec de nouvelles plateformes, des technologies émergentes et les usages des utilisateurs. L’écosystème des AI skills se développe à grande vitesse, élargissant considérablement la surface d’attaque. — Jiří Kropáč, directeur des laboratoires de prévention des menaces d’ESET
Il tempère toutefois la portée immédiate de cette menace, rappelant que les garde-fous intégrés aux grands modèles de langage devraient encore freiner l’adoption à grande échelle de ce type d’approche par les groupes cybercriminels.
ClickFix élargit son terrain de chasse
La technique d’ingénierie sociale ClickFix, initialement construite autour de faux CAPTCHA destinés à piéger les internautes, poursuit sa diversification. Elle cible désormais de faux sites d’assistance liés à l’intelligence artificielle, des extensions de navigateur malveillantes ou encore des scénarios frauduleux d’authentification cloud. Le rapport décrit notamment une variante baptisée AI-fix, qui exploite la confiance que les utilisateurs accordent aux contenus générés par IA en dissimulant des chaînes d’infection ClickFix au sein de faux guides de dépannage.
Une autre évolution retient l’attention des chercheurs : ConsentFix, une technique qui marque un basculement vers le vol de jetons d’authentification via un détournement des autorisations OAuth. Cette approche permet de compromettre des comptes cloud sans avoir à voler les identifiants des victimes ni à contourner frontalement les mécanismes d’authentification multifactorielle. Les détections de cette technique par ESET ont plus que doublé entre le second semestre 2025 et le premier semestre 2026, un rythme de progression qui traduit son efficacité croissante face à des défenses pourtant renforcées.
Le quishing franchit un cap historique
Les campagnes de phishing continuent, elles aussi, de s’adapter aux usages numériques actuels. Le phishing par QR code, communément appelé quishing, a atteint un niveau record dans la télémétrie d’ESET au cours du premier semestre 2026. Le principe consiste à dissimuler un lien malveillant dans un QR code afin de contourner les mécanismes d’inspection traditionnels des messageries et de reporter l’interaction vers un terminal mobile, souvent moins bien protégé que le poste de travail.
Près de 11 % des e-mails de phishing détectés par ESET sur la période contenaient un QR code. La répartition géographique de ces détections place les États-Unis en tête, avec 19 % des cas recensés, devant l’Espagne (17 %) et le Mexique (6 %), signe que cette technique s’implante durablement dans l’arsenal des cybercriminels à l’échelle mondiale.
Les rançongiciels contournent les défenses EDR
Du côté des ransomwares, l’activité des groupes spécialisés ne montre aucun signe de ralentissement. ESET a observé un recours croissant à des outils de neutralisation des solutions EDR (Endpoint Detection and Response), conçus pour désactiver les mécanismes de défense d’une organisation avant le déploiement du rançongiciel proprement dit. Plus de cent variantes de ces « EDR killers » ont été identifiées dans des attaques réelles au cours de la période étudiée.
Le rapport relève toutefois un paradoxe intéressant : alors que le nombre d’attaques continue de progresser, la proportion de victimes qui choisissent de verser une rançon atteint un niveau historiquement bas. Selon plusieurs études sectorielles récentes citées par ESET, seuls 14 à 28 % des victimes optent désormais pour le paiement, une tendance qui pourrait refléter une meilleure préparation des organisations et une défiance croissante envers les garanties offertes par les attaquants.
Ce qu’il faut retenir
Le rapport ESET Threat Report H1 2026 dresse le portrait d’un paysage de menaces en pleine recomposition, où l’intelligence artificielle agit à la fois comme cible, comme outil et comme vecteur d’attaque. Pour les équipes de sécurité, la vigilance doit désormais s’étendre aux écosystèmes d’agents IA et à leurs modules complémentaires, au même titre qu’aux vecteurs plus classiques que sont le phishing et les ransomwares. Le rapport complet est disponible sur WeLiveSecurity.com.


