« L’émergence des LLM sombres abaisse le seuil des cyberattaques »

« L’émergence des LLM sombres abaisse le seuil des cyberattaques »

Les chercheurs d’Unit 42, l’équipe de recherche de Palo Alto Networks, observent un marché en croissance rapide pour les LLM sombres. Ces modèles d’IA modifiés suppriment les restrictions de sécurité et facilitent le développement et l’exécution de cyberattaques avancées.

Les LLM sombres sont des modèles de langage de grande taille qui ont été délibérément modifiés ou construits pour ne plus avoir de garde-fous de sécurité. Selon Unit 42, cela constitue un nouveau chapitre dans le dilemme du double usage autour de la technologie. Les mêmes modèles qui aident les équipes de sécurité dans la détection et la réponse peuvent être utilisés par les criminels pour accélérer et intensifier les attaques.

Modèle économique

Unit 42 observe un écosystème croissant de modèles personnalisés tels que WormGPT et FraudGPT. Ceux-ci sont vendus via des canaux Telegram et des forums du dark web. Les modèles génèrent notamment du matériel de phishing, des structures de logiciels malveillants et des scripts automatisés pour les attaques.

La distribution suit un modèle commercial. L’accès se fait via des abonnements avec des promesses de sortie « non censurée » et de support, comparable aux services SaaS. De plus, des variantes open source apparaissent, comme KawaiiGPT, qui peuvent être installées localement sans connaissances approfondies en programmation. Cela augmente l’utilisabilité pour les criminels moins techniquement qualifiés.

lire aussi

Trend Micro : « La cybercriminalité entièrement automatisée d’ici 2026 »

Les modèles étudiés produisent selon Unit 42 des textes de phishing parfaits et des fragments de code utilisables pour les logiciels malveillants. Cela abaisse le seuil d’entrée et soutient des campagnes automatisées à grande échelle.

Marché souterrain

Les chercheurs concluent que les LLM sombres ont évolué d’une expérimentation vers un marché souterrain à part entière. L’automatisation par LLM devient ainsi centrale dans les méthodes de travail des attaquants.

Pour les équipes de sécurité, cela signifie qu’elles ne doivent pas seulement examiner les indicateurs classiques, mais aussi les artefacts générés par l’IA. Pensez aux courriels de phishing très convaincants ou aux variantes de logiciels malveillants qui changent rapidement.