International

Un an d’expansion spectaculaire de la cybercriminalité dopée par l’IA

Boris Jancen

Boris Jancen

4 min de lecture
Partager
Un an d’expansion spectaculaire de la cybercriminalité dopée par l’IA

 Le nombre de victimes de ransomware a explosé de 389% en un an. Les experts de Fortiguard Labs dressent leur analyse de cette progression de la cybercriminalité sans précédent alimentée par l’IA. Zoom sur les tactiques déployées par les criminels en ligne.

 Le spécialiste de la cybersécurité a dévoilé son dernier panorama des menaces mondiales. Tiré exclusivement des indicateurs et données de télémétrie du centre de recherche de Fortinet, le rapport 2026 des experts de FortiGuard Labs dresse un état des lieux précis des menaces tout en présentant une analyse détaillée des tactiques déployées par les cybercriminels. 

 Les conclusions révèlent ainsi que la cybercriminalité ne se contente plus de campagnes ponctuelles : elle s’organise désormais en un véritable écosystème, où les acteurs malveillants interviennent à chaque étape du cycle d’attaque, ce dernier s’étant accéléré à l’aide des agents furtifs.

 « La cybercriminalité s’impose comme l’une des menaces les plus omniprésentes et coûteuses dans le monde. Notre nouveau rapport sur les menaces mondiales indique comment les acteurs malveillants commencent à tirer parti de l’IA agentique pour mener des attaques d’une sophistication inédite », explique Derek Manky, Chief Security Strategist & Global VP Threat Intelligence chez Fortinet FortiGuard Labs. 
« Au fur et à mesure que les cybercriminels adossent leurs tactiques à l’IA, les entreprises doivent faire évoluer leurs opérations de cybersécurité en adoptant une défense industrialisée et des outils optimisés par l’IA, pour ainsi répondre avec la même rapidité et fluidité que les cybermenaces actuelles. »

 Techniques d’attaque et secteurs ciblés

 La cybercriminalité s’affranchit des frontières, cible indistinctement l’ensemble des secteurs et bouscule les principes traditionnels de la criminalité. Face à des attaques de plus en plus sophistiquées et interconnectées, le nouveau rapport de sécurité de FortiGuard Labs souligne les réalités suivantes :

 -Une corrélation entre risque et rapidité, avec une accélération du délai d’exploitation (time-to-exploit, TTE). Avec l’IA, les phases de reconnaissance, d’armement et d’exécution d’un cycle d’attaque s’accélèrent. Les éléments de veille de FortiGuard Labs indiquent un TTE de 24 à 48 heures pour les épidémies critiques, une nette accélération par rapport au TTE de 4,76 jours, observé dans le précédent rapport. 

-Les incidents sur le terrain illustrent l’importance du facteur temps : ainsi, des tentatives d’exploitation ont eu lieu quelques heures seulement après la divulgation de la vulnérabilité React2Shell.

-Une explosion des victimes de ransomware. La veille assurée par FortiRecon a recensé 7 831 victimes confirmées de ransomware dans le monde, contre environ 1 600 l’année précédente. La disponibilité de kits de services criminels comme WormGPT, FraudGPT et BruteForceAI a contribué à cette flambée spectaculaire de 389 % en un an. Les trois secteurs les plus ciblés sont la production industrielle (1 284), les services aux entreprises (824) et le commerce de détail (682). Sur le plan géographique, les États-Unis dominent ce palmarès (3 381 incidents), suivis du Canada (374) et de l’Allemagne (291).

 -Des identités qui prolifèrent et des risques qui s’accentuent dans le cloud. Les données télémétriques de FortiCNAPP le confirment : en 2025, la majorité des incidents cloud proviennent de la compromission, de l’exposition ou de l’utilisation abusive d’identifiants, plutôt que d’une compromission des infrastructures. Les secteurs les plus touchés sont les hôpitaux/cliniques et les commerces de détail, des cibles de choix pour les attaques compte tenu du volume important d’identités, d’accès fédérés et d’intégrations complexes dans le cloud.

 Les pratiques IA des cybercriminels modernes

 Les menaces les plus expertes opèrent de manière semi-autonome, en recourant à des agents furtifs, des courtiers d’accès (access brokers) et des opérateurs de botnets dont les services sont proposés à la demande. Le rapport 2026 sur le panorama des menaces mondiales livre les conclusions suivantes :

 -Les agents allègent le besoin en compétences et accélèrent les workflows. FortiRecon détecte sur le darkweb des outils d’IA offensifs commercialisés en tant que service et produits, notamment des versions améliorées de WormGPT et de FraudGPT, ainsi que HexStrike AI, un nouvel outil qui automatise la reconnaissance et la génération de chemins d’attaque. BruteForceAI, quant à lui, repense les tests d’intrusion en utilisant des modèles de langage (LLM) pour une analyse intelligente de formulaires et des attaques multithread sophistiquées.

-Avec l’IA, les cybercriminels œuvrent plus intelligemment. Les données issues de la fonctionnalité IPS de FortiGate indiquent un recul de 22 % des tentatives d’intrusion par force brute sur un an, ce qui révèle des gains de productivité : grâce à des techniques optimisées et intelligentes, les assaillants font moins de tentatives, sélectionnent mieux leurs cibles et renforcent leur taux de réussite par identifiant testé. Cette activité se traduit par environ 67,65 milliards de tentatives d’intrusion par force brute dans le monde, soit 185 millions par jour, 1,3 milliard par semaine et 5,6 milliards par mois. Parallèlement, les données de veille enregistrent un bond de 25,49 % des tentatives d’exploitation à l’échelle mondiale.

 -Les ensembles de données détournés sont plus prisés que les identifiants divulgués. Dans son Rapport 2025 sur le panorama des menaces mondiales, les chercheurs de FortiGuard Labs notaient une envolée de 500 % des logs issus de systèmes compromis par des infostealers. En 2026, FortiRecon note une progression supplémentaire de 79 % et une préférence pour le détournement d’ensembles de données plus complets, rendu possible par l’IA agentique. Sur le darkweb, les logs issus d’infostealers sont les plus courants parmi les données proposées à la vente (67,12 %), devant les combolists (16,47 %) et les identifiants divulgués (5,96 %). Ces logs d’infostealers facilitent les attaques en regroupant identités et éléments contextuels, dont des données de navigateur, ce qui favorise une exploitation immédiate et plus rapide par rapport aux techniques de force brute ou de password spraying.

 -Le détournement d’identifiants reste omniprésent. Ces malwares de vol d’identifiants donnent lieu à une activité lucrative et constituent un facteur majeur d’exposition aux risques. Selon les indicateurs de FortiRecon, RedLine domine le marché avec 911 968 infections (50,80 %), suivi de Lumma (499 784 ; 27,84 %) et Vidar (236 778 ; 13,19 %).

 

Lire la suite