Aller au contenu principal
SécuritéLe Big Data5h· 2 min de lecture

Mycelium : ce botnet exploite les ressources IA des PC piratés, voici comment se protéger

Source originale ↗·

Le cabinet de renseignement sur les menaces Flare a identifié sur le dark web un nouveau framework de botnet baptisé Mycelium, dont la particularité rompt avec les usages classiques de ce type d'infrastructure malveillante. Compatible avec Windows et Linux, l'outil ne se contente pas de prendre le contrôle des machines infectées : il analyse en détail les ressources disponibles sur chacune d'elles pour leur attribuer une mission adaptée. Les ordinateurs dotés d'une carte graphique performante ou d'un modèle d'IA installé localement sont réquisitionnés pour générer du texte, classer des données ou traiter des contenus en arrière-plan. Ceux disposant d'une session déjà ouverte ou d'une clé API dérobée permettent aux attaquants d'accéder à des services d'IA sans utiliser leurs propres comptes. Les machines les plus puissantes sont réservées aux tâches les plus exigeantes, comme la création de campagnes de phishing hautement personnalisées, tandis que les autres assurent des fonctions plus discrètes : prétraitement de données, routage des opérations, craquage de mots de passe, scans de réseaux ou recherche de services vulnérables. Flare décrit une infrastructure organisée en plusieurs pôles spécialisés, chacun doté d'un rôle précis.

Cette approche change la nature même de ce qu'un pirate peut tirer d'un ordinateur compromis. Une carte graphique puissante, une session de navigateur active ou une clé API valide deviennent des ressources aussi convoitées qu'un mot de passe ou des données bancaires. Plus préoccupant encore, Mycelium embarquerait un moteur capable d'analyser les historiques d'e-mails et les conversations issues de Slack, Discord ou Telegram pour imiter le style d'écriture de la victime, rendant les messages frauduleux qui en résultent nettement plus crédibles et difficiles à repérer. Le framework surveillerait aussi en continu les nouvelles failles publiées dans les bases CVE, sur GitHub ou Exploit-DB, et générerait automatiquement, grâce à l'IA, du code d'exploitation pour scanner de nouvelles cibles et étendre le botnet. Il chercherait également à dissimuler des instructions malveillantes dans du code source ou de la documentation, dans le but de tromper les assistants IA chargés d'analyser ces fichiers.

Ce type de menace illustre un basculement plus large : à mesure que les entreprises et les particuliers déploient des modèles d'IA localement ou s'appuient sur des services cloud via des clés API, ces éléments deviennent des cibles à part entière pour la cybercriminalité. Pour limiter les risques, il est recommandé de maintenir ses logiciels à jour et de surveiller les signaux inhabituels : surchauffe, sollicitation constante du processeur ou du GPU, ralentissements persistants, connexions vers des serveurs inconnus. Dans les entreprises, les clés API, jetons d'accès et sessions ouvertes doivent être protégés avec la même rigueur que les mots de passe, et l'authentification multifacteur reste recommandée pour limiter l'impact d'une éventuelle compromission.

Impact France/UE

Les entreprises et particuliers europeens deployant des modeles IA en local ou utilisant des cles API cloud sont exposes au meme risque, sans qu'aucune entite francaise ou europeenne specifique ne soit visee dans cette affaire.

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Alibaba aurait exploité Claude pour entraîner son IA : voici comment
1Le Big Data 

Alibaba aurait exploité Claude pour entraîner son IA : voici comment

Anthropic a formellement accusé des acteurs liés au groupe chinois Alibaba d'avoir mené une campagne d'extraction massive de données contre son modèle Claude. Dans une lettre adressée aux sénateurs américains Tim Scott et Elizabeth Warren, datée du 10 juin 2026, la startup californienne affirme que ces opérateurs ont utilisé près de 25 000 comptes frauduleux pour générer environ 28,8 millions d'interactions avec son IA entre le 22 avril et le 5 juin 2026. Les requêtes ciblaient spécifiquement des capacités avancées de Claude, notamment en ingénierie logicielle et en raisonnement agentiel, deux domaines jugés stratégiques dans la compétition mondiale autour de l'intelligence artificielle. La technique mobilisée est connue sous le nom de « distillation » : elle consiste à nourrir un modèle moins performant avec les réponses générées par une IA de pointe, lui permettant d'en acquérir les compétences à moindre coût. Pour Alibaba, l'objectif présumé serait d'accélérer le développement de sa famille de modèles Qwen, en y intégrant des aptitudes proches de celles de Mythos, le modèle phare d'Anthropic. Cette approche permet de contourner des années d'investissement en recherche fondamentale et réduit drastiquement les coûts d'entraînement, ce qui représente un avantage compétitif considérable dans une course où les dépenses se comptent en milliards de dollars. Cette affaire s'inscrit dans un contexte de rivalité technologique de plus en plus tendue entre Washington et Pékin. Dès avril 2026, la Maison-Blanche dénonçait le pillage systématique de la propriété intellectuelle des laboratoires américains par des entités chinoises. Anthropic n'en est pas à sa première alerte : en février, la société avait déjà signalé des campagnes similaires impliquant DeepSeek (plus de 150 000 échanges), Moonshot AI (3,4 millions) et MiniMax (13 millions d'interactions avec Claude). La startup plaide depuis lors pour une réponse coordonnée entre industriels, décideurs politiques et acteurs de l'IA. Alibaba a par ailleurs été récemment ajoutée à la liste des entreprises militaires chinoises établie par le Pentagone, une désignation que le groupe conteste. Le département américain du Commerce a de son côté renoncé à placer DeepSeek sur sa liste noire commerciale, malgré les préoccupations exprimées par plusieurs agences gouvernementales américaines sur les risques pour la sécurité nationale.

UELes laboratoires européens d'IA sont exposés aux mêmes risques d'extraction systématique par distillation, et cet incident pourrait accélérer la réflexion réglementaire de l'UE sur la protection juridique des modèles d'IA.

💬 28,8 millions d'échanges en six semaines via des comptes jetables, ça n'a rien d'artisanal. Ce qui ressort de cette affaire, c'est que les réponses d'un modèle de pointe sont devenues une ressource stratégique aussi convoitée que les poids eux-mêmes, et qu'aucune condition d'utilisation ne peut contenir des acteurs qui opèrent à l'échelle d'un État. Anthropic va au Congrès parce que c'est le seul endroit où ça peut avoir un effet.

SécuritéOpinion
1 source
L'injection de prompts exploite les failles de conception des IA d'entreprise : agents, pipelines RAG et routeurs de modèles ciblés
2VentureBeat AI 

L'injection de prompts exploite les failles de conception des IA d'entreprise : agents, pipelines RAG et routeurs de modèles ciblés

L'injection de prompts s'est imposée comme la menace la plus critique pesant sur les systèmes d'intelligence artificielle en entreprise, selon plusieurs rapports convergents publiés entre 2025 et 2026. L'OWASP LLM Top 10 (édition 2025) la classe en première position pour la deuxième édition consécutive, reconnaissant l'incapacité persistante des grands modèles de langage à distinguer fiablement les instructions des données qu'ils traitent. Le rapport CrowdStrike Global Threat Report 2026, s'appuyant sur le suivi de plus de 280 groupes d'adversaires, documente des injections de prompts malveillants dans des outils d'IA générative légitimes au sein de plus de 90 organisations en 2025, utilisées pour voler des identifiants et des cryptomonnaies. Les attaquants pilotés par l'IA ont augmenté leur volume d'attaques de 89 % en un an, résumant la situation en une formule : "Les prompts sont le nouveau malware." Deux incidents concrets illustrent l'ampleur réelle du problème. En août 2024, des chercheurs de PromptArmor ont révélé une faille dans Slack AI permettant d'exfiltrer des données de canaux privés, y compris des clés API, simplement en plaçant une instruction malveillante dans un canal public. En juin 2025, Aim Security a divulgué EchoLeak (CVE-2025-32711, score CVSS 9.3), premier exploit zero-click documenté contre un système IA en production : en envoyant un seul email piégé, sans aucune interaction de l'utilisateur, un attaquant pouvait forcer Microsoft 365 Copilot à transmettre des fichiers internes vers un serveur externe. Les deux vulnérabilités ont depuis été corrigées. L'impact de ces attaques dépasse largement le cas isolé : elles exposent une faille structurelle dans la manière dont les entreprises déploient l'IA à grande échelle. Lorsqu'un modèle traite des instructions, résume des informations et déclenche des workflows automatisés, il devient difficile de distinguer une commande légitime d'une donnée corrompue. Les agents IA modernes peuvent envoyer des emails, modifier des infrastructures cloud, exécuter du code et interagir avec des systèmes internes, ce qui signifie qu'une seule instruction malveillante peut déclencher des actions aux conséquences réelles et durables. Le problème touche directement les équipes de sécurité, les DSI et les développeurs qui déploient ces systèmes sans protocoles de validation robustes. Les techniques d'injection ont considérablement évolué, ciblant désormais des architectures bien plus complexes que le simple chatbot. L'injection inter-modèles exploite le fait que la sortie corrompue d'un modèle sera traitée par d'autres modèles en aval, propageant ainsi la manipulation à travers toute la chaîne. L'empoisonnement de pipelines RAG consiste à publier des contenus malveillants (documentations, articles, READMEs GitHub) en espérant qu'ils soient ingérés par les systèmes de récupération d'information des entreprises. Le détournement d'agents et les attaques par débordement de contexte, utilisant des fenêtres de millions de tokens pour noyer les garde-fous dans un flot de données, complètent un arsenal en constante expansion. Face à cette réalité, la question n'est plus de savoir si une organisation sera ciblée, mais à quel moment ses pipelines IA seront compromis, et si elle aura mis en place les contrôles nécessaires pour le détecter.

UELes entreprises françaises et européennes déployant Microsoft 365 Copilot, des agents IA ou des pipelines RAG sont directement exposées aux vecteurs documentés, notamment EchoLeak (CVE-2025-32711, CVSS 9.3) qui permettait l'exfiltration silencieuse de fichiers internes sans interaction utilisateur.

SécuritéOpinion
1 source
Jailbreak et Prompt Injection : comment les hackers piratent les IA
3Le Big Data 

Jailbreak et Prompt Injection : comment les hackers piratent les IA

Les intelligences artificielles génératives sont désormais exposées à deux catégories d'attaques bien documentées : le jailbreak et la prompt injection. Le jailbreak consiste à contourner les règles de sécurité intégrées dans un modèle de langage, ces filtres conçus pour empêcher la génération de contenus illégaux, haineux ou dangereux. La prompt injection, elle, introduit des instructions malveillantes directement dans l'entrée du modèle, en exploitant le fait que les LLM ne distinguent pas naturellement une donnée d'une commande. Microsoft et OpenAI ont tous deux documenté de nombreux cas réels où des séquences de messages soigneusement construites, parfois sous forme de jeux de rôle ou de formulations persuasives, ont suffi à faire contourner ses garde-fous à un modèle. La prompt injection prend deux formes : directe, via le champ de saisie de l'utilisateur, ou indirecte, dissimulée dans un document externe lu par l'IA, comme un e-mail ou une page web. Ces vulnérabilités cessent d'être des curiosités techniques dès lors que les IA pilotent des systèmes critiques en entreprise. Un modèle compromis peut exfiltrer des données confidentielles, exécuter des commandes non autorisées ou propager des contenus nuisibles à grande échelle. La dangerosité tient en grande partie à l'asymétrie de l'attaque : ces techniques sont faciles à lancer, ne nécessitent aucune modification du code source, mais restent difficiles à détecter en temps réel. Les applications d'entreprise qui connectent des LLM à des bases de données, des messageries ou des outils internes représentent une surface d'attaque particulièrement exposée, car une injection indirecte peut s'activer sans intervention directe de l'attaquant sur l'interface. La combinaison des deux méthodes amplifie encore le risque : le jailbreak peut être le résultat d'une série de prompts injectés progressivement, poussant le modèle à ignorer ses instructions de base par accumulation. Ce phénomène s'inscrit dans un contexte plus large où la sécurité des systèmes IA accuse un retard structurel sur leur déploiement. Contrairement à la sécurité applicative classique, il n'existe pas encore de standard universel pour auditer ou certifier la robustesse d'un modèle face à ces attaques. Les chercheurs en sécurité, les équipes red team d'OpenAI, Google et Anthropic, ainsi que des cabinets indépendants, travaillent à établir des benchmarks fiables, mais la course entre attaque et défense reste ouverte. La vigilance humaine dans la supervision des sorties des modèles demeure, à ce stade, la mesure de protection la plus concrète disponible.

SécuritéOpinion
1 source
Des outils Microsoft piratés pour voler des identifiants d’outils IA comme Claude Code
4Next INpact 

Des outils Microsoft piratés pour voler des identifiants d’outils IA comme Claude Code

Microsoft a dû désactiver l'accès à plus de 70 de ses propres dépôts GitHub suite à une campagne d'attaques nommée « Miasma », révélée début juin 2026. Parmi les dépôts compromis figurent des projets critiques comme « Azure/functions-action », utilisé pour déployer du code sur Azure Functions, et le framework Durable Task, décrit comme « utilisé activement en production par de nombreuses équipes d'ingénierie au sein de Microsoft ». L'entreprise de sécurité StepSecurity a identifié le vecteur précis : un commit malveillant poussé dans le dépôt Azure/durabletask via un compte de contributeur piraté, ajoutant cinq fichiers conçus pour s'exécuter automatiquement dans quatre environnements de développement. Le code s'active dès qu'un développeur ouvre le dépôt dans Claude Code, Gemini CLI, Cursor ou VS Code, avec pour objectif de dérober des identifiants. L'impact est particulièrement insidieux car l'attaque ne repose sur aucune faille technique de GitHub ou de npm, mais exploite la confiance accordée aux flux de publication légitimes. En s'emparant des identifiants d'un mainteneur, les attaquants ont pu demander un jeton OIDC GitHub valide, publier une version infectée avec une provenance SLSA authentique, et contourner ainsi les scanners de sécurité conventionnels qui l'ont traitée comme une mise à jour de routine. Comme le souligne l'entreprise Cloudsmith, « le ver s'est fondu dans les flux de travail légitimes » : les paquets malveillants portaient des signatures cryptographiques valides, indiscernables de celles d'un éditeur légitime. Les développeurs qui clonent un dépôt ne sont pas exposés, mais ceux qui l'ouvrent directement dans leur IDE l'étaient. Paradoxalement, c'est l'équipe de sécurité de Microsoft elle-même qui avait détecté Miasma en premier, non pas dans ses propres projets, mais chez Red Hat le 2 juin, où 32 paquets npm du périmètre @redhat-cloud-services avaient été modifiés dans plus de 90 versions. StepSecurity relie cette campagne à une attaque antérieure, « Mini Shai-Hulud », menée par le groupe TeamPCP, les deux opérations partageant un même domaine de commande et contrôle. Le compte piraté chez Microsoft est le même dont les identifiants avaient servi lors d'une attaque contre PyPI le 19 mai. Cette série d'incidents illustre une tendance de fond : la compromission des identifiants développeurs comme point d'entrée privilégié dans la chaîne d'approvisionnement logicielle, un vecteur d'autant plus difficile à contrer que les outils de vérification d'intégrité comme SLSA ne distinguent pas un éditeur authentique d'un attaquant ayant volé ses clés.

UELes développeurs européens utilisant Claude Code, Gemini CLI, Cursor ou VS Code sont directement exposés au vol de credentials s'ils ont ouvert des dépôts Microsoft ou Red Hat compromis dans ces environnements.

💬 Ce qui me frappe, c'est pas l'ampleur de la campagne. C'est que tous nos garde-fous, SLSA, les signatures cryptographiques, les pipelines de provenance qu'on impose aux projets OSS depuis des années, sont aveugles face à des credentials volés : la signature est valide, les scanners voient du vert, et t'es quand même compromis. C'est le genre de faille qu'on va pas résoudre avec un outil de plus dans la chaîne.

SécuritéOpinion
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic