18 septembre 2025
L’intelligence artificielle est rapidement devenue l’une des forces les plus perturbatrices de la cybersécurité. En surface, l’IA promet l’efficacité, les défenses plus intelligentes et l’automatisation. Mais il est également exploité par des criminels dans les forums souterrains et les marchés. Le Darknet a toujours été un centre pour les kits de phishing, les gangs de ransomware et les marchés de données volés. Ce qui a changé, c’est la vitesse et le poli de ces attaques. L’IA n’a pas créé de nouveaux crimes, mais il a rendu l’ancien plus net, plus évolutif et plus difficile à défendre.
Pour comprendre les risques, vous devez examiner de près comment les acteurs de la menace adoptent l’IA dans trois domaines où les dommages sont déjà visibles: phishing, ransomware et grumes de voleurs. Parallèlement à cela, il vaut la peine d’explorer comment l’économie sombre elle-même se déplace vers un modèle basé sur un abonnement qui se sent étrangement similaire aux marchés technologiques légitimes.
Le phishing devient plus intelligent
Le phishing est l’une des plus anciennes astuces du livre. Traditionnellement, cela s’est appuyé sur le daltonisme des e-mails de masse et en espérant que quelques destinataires ont cliqué sur des liens malveillants. Ces campagnes étaient souvent criblées d’erreur, de mauvaise grammaire, de mise en forme étrange et d’adresses de l’expéditeur suspects. Ils ont travaillé assez bien pour piéger les imprudents, mais beaucoup étaient faciles à repérer.
L’IA a changé cela. En 2023, des outils tels que Fraudgpt et Wormgpt sont apparus à la vente sur les forums Darknet et les canaux télégrammes. Fraudgpt a été promu comme un chatbot avec «aucune limitation, pas de filtres, pas de limites». Il a promis d’aider les criminels à élaborer des e-mails de phishing poli, à générer de faux sites Web et même à produire du code malveillant. Les vendeurs l’ont commercialisé de la même manière qu’une startup SaaS commercialiserait des outils légitimes, avec des listes de fonctionnalités claires et des options d’abonnement mensuelles ou annuelles. Les rapports suggèrent que les prix ont commencé environ 200 $ par mois ou 1 700 $ par an, et l’outil a rapidement gagné du terrain parmi les acteurs peu qualifiés.
Wormgpt a pris un chemin similaire. Construit sur GPT-J, un modèle de grande langue open source, il a été présenté comme une version BlackHat de Chatgpt. L’accès a été vendu pour environ 110 $ par mois. Son objectif était direct et simple: créer des e-mails de phishing convaincants à grande échelle. Pas de grammaire cassée, pas de drapeaux rouges évidents, juste des messages qui semblaient provenant des RH, des finances ou d’un partenaire commercial de confiance.
La sophistication du phishing ne se limite plus aux e-mails. Le clonage vocal et Deepfakes ont introduit de nouveaux angles. Un appel qui ressemble exactement à votre PDG pour demander un transfert de fil urgent n’est plus un scénario farfelu. En fait, il y a déjà eu des cas documentés où le clonage vocal a été utilisé pour frauder les compagnies à partir de millions de personnes. Avec l’IA, la création de ces imitations convaincantes est plus rapide, moins chère et accessible à beaucoup plus d’acteurs.
Le phishing n’est plus l’heure amateur. Il s’agit d’un service professionnel où les attaquants peuvent externaliser la créativité à l’IA.
Ransomware apprend de nouvelles astuces
Les groupes de ransomwares s’adaptent également à l’IA à leurs livres de jeu. Leur objectif est toujours le même: chiffrer les systèmes critiques, voler des données sensibles et demander le paiement. Mais l’IA rationalise le processus.
Certains équipes de ransomwares utilisent l’IA pour affiner le code malveillant et contourner les défenses plus efficacement. D’autres expérimentent des chaînes d’infection automatisées où les scripts d’IA aident à identifier les points faibles des réseaux et les charges utiles de tailleur pour les exploiter. Dans certains cas, l’IA a même été proposée pour les négociations de rançon, où les chatbots pourraient faire pression sur les victimes avec des tactiques manipularices et des réponses personnalisées.
Cela ne se produit pas dans le vide. Les gangs de ransomware sont structurés comme les entreprises. Ils organisent souvent des programmes d’affiliation, recrutent des développeurs et maintiennent des canaux de soutien pour les acheteurs. L’IA s’inscrit parfaitement dans cette structure. Il réduit la barrière technique, accélère le développement et libère des attaquants pour faire évoluer les opérations.
Le vrai danger n’est pas seulement que l’IA rend les ransomwares plus efficaces. Il facilite également l’entrée dans les ransomwares. Une personne ayant une petite expérience de codage peut rejoindre un programme d’affiliation, acheter un accès aux outils d’IA et lancer une campagne sans créer de logiciels malveillants à partir de zéro. Le résultat est que davantage d’acteurs concurrence pour les victimes, ce qui augmente le volume des attaques à l’échelle mondiale.
Les journaux de voleurs deviennent suralimentés
Si le phishing est le point d’entrée et que le ransomware est le marteau, les journaux de voleurs sont la matière première qui alimente d’innombrables autres crimes. Un journal de voleur est une collection de données siphonées à partir d’une machine infectée: noms d’utilisateur, mots de passe, cookies de navigateur, données de mise en ligne, portefeuilles de crypto-monnaie, détails du système. Pendant des années, ces journaux ont été vendus en vrac sur les marchés Darknet.
L’IA les a rendus beaucoup plus faciles à exploiter. Au lieu de peigner manuellement via des fichiers texte désordonnés, les criminels utilisent désormais des outils axés sur l’IA pour analyser, filtrer et hiérarchiser les données. Ils peuvent rechercher des mots clés comme «PayPal» ou «VPN» et extraire instantanément les informations d’identification les plus précieuses. Les tableaux de bord vendus avec ces journaux facilitent le profit des acteurs même non qualifiés.
Considérez Rhadamanthys, un voleur qui est apparu fin 2022 pour la première fois au milieu de 2024, la version 0.7.0 a introduit une capacité inhabituelle alimentée par AI: reconnaissance optique des caractères. Il pourrait scanner des images sur des appareils infectés et extraire du texte, y compris des phrases de graines de portefeuille de crypto-monnaie. Cela signifiait que même si les utilisateurs pensaient qu’ils étaient sûrs de stocker des clés comme captures d’écran, le malware pouvait toujours les récupérer.
Rhadamanthys est vendu ouvertement sur des forums. Les licences coûtent environ 250 $ par mois ou 550 $ pour 90 jours. Ses opérateurs mettent activement à jour les logiciels malveillants, fournissent un support client via Telegram et annoncent de nouvelles fonctionnalités. En 2024, il a été déployé par le biais de campagnes de phishing déguisées en avis de violation du droit d’auteur, ciblant les victimes à travers l’Europe, l’Asie et les Amériques.
Au-delà des familles individuelles, l’écosystème du voleur est vaste. Le marché russe à lui seul répertorie des millions de journaux volés, et des services comme MoonCloud les reconditionnent dans des bases de données consultables distribuées via Telegram. Ces marchés sont de plus en plus structurés et automatisés, ressemblant plus à des courtiers de données qu’à des ventes criminelles ad hoc.
Le Darknet en tant que service
L’une des tendances les plus frappantes est la façon dont The Darknet a adopté le modèle de langue et d’entreprise de l’industrie technologique. Il est révolu le temps des boîtes à outils ponctuelles passant tranquillement entre les pirates. Aujourd’hui, le souterrain prospère sur les abonnements et les services.
Fraude en tant que service. Phishing comme service. Ransomware comme service. Infostellers avec des modèles de licence mensuels. L’IA a abaissé la barrière à l’entrée jusqu’à présent que l’écosystème ressemble plus à un marché SaaS qu’un coin ténébreux du Web. Pour quelques centaines de dollars par mois, tout le monde peut acheter un accès à des outils rivalisant avec ceux utilisés par les groupes de menaces avancées.
Cette professionnalisation est la raison pour laquelle le paysage des menaces se sent tellement plus encombré. Plus de gens peuvent jouer au jeu. Le coût d’entrée est faible. Et les outils sont assez bons pour travailler.
Pourquoi la visibilité est importante et comment Darkowl aide
Si les criminels évoluent avec l’IA, les défenseurs ne peuvent pas compter uniquement sur les défenses traditionnelles. Les organisations ont besoin d’une visibilité dans les espaces où ces outils sont vendus et discutés. C’est là que Darkowl offre de la valeur.
Darkowl surveille les forums Darknet, les canaux cryptés et les marchés où les outils compatibles AI et les données volées apparaissent. Il peut identifier quand un nouveau kit de phishing est annoncé, lorsque des journaux de voleurs contenant des informations d’identification de l’entreprise sont affichés, ou lorsqu’ils sont des surfaces sur les campagnes d’identité. Plus important encore, Darkowl offre un contexte. Un mot de passe volé seul est un point de données. Le contexte explique s’il est lié à une campagne plus large, comment elle a été obtenue et si des données similaires circulent ailleurs.
Cette intelligence n’est pas censée s’asseoir dans un rapport. Les organisations peuvent agir en informatique en construisant des flux de travail alertes, de sorte que les équipes de sécurité sont informées lorsque les informations d’identification de l’entreprise apparaissent dans les journaux de voleurs, la mise à jour de Playbooks avec de nouveaux leurres vus dans les communautés underground et la protection des cadres et des marques en surveillant les campagnes profondes ou imitantes.
Darkowl ne collecte pas seulement les données; Il aide les organisations à l’utiliser. Cette différence est ce qui transforme la visibilité en défense.
Pensée finale
L’IA n’a pas changé les principes fondamentaux de la cybercriminalité. Les criminels phissent, cryptent et volent toujours. Ce qui a changé, c’est l’échelle et l’accessibilité. Fraudgpt rend le phishing crédible. Wormpt Mass Produit des escroqueries. Rhadamanthys utilise l’IA pour gratter les données sensibles des images. Les marchés vendent des journaux avec des tableaux de bord et des filtres qui ressemblent à des outils d’analyse professionnelle. Le Darknet évolue et l’IA accélère le rythme.
Le monde ne peut pas se permettre d’ignorer ce changement. Les défenseurs doivent voir ce qui se passe dans le métro au fur et à mesure qu’il se déroule. Darkowl offre cette fenêtre, donnant aux organisations la possibilité d’anticiper les menaces, de relier les points et de répondre avant que les attaques dirigés sur l’IA atterrissent.
