🎤 Interview - Fuites de données, IA et cybercriminalité : à quoi s’attendre en 2026 ? (Benoît Grünemwald, ESET)

Benoit Grünemwald: [0:01] Au vu des fuites de données, on peut se poser la question de 2026 quant, Benoit Grünemwald: [0:06] pourquoi pas, à la création de bases qui vont faire une sorte de profil sur des personnes. Et vu l'ampleur des fuites de données, je pense qu'on peut dire que quasiment tout le monde, pas loin de tout le monde, a été touché en 2025. Monde Numérique : [0:27] Bonjour Benoit Grünemwald. Benoit Grünemwald: [0:29] Bonjour Jérôme. Monde Numérique : [0:30] Expert cybersécurité chez ESET. On se retrouve pour ce rendez-vous en partenariat avec ESET, entre ESET et Monde Numérique. Pour parler, cette semaine, c'est la période qui veut ça. On va faire un petit peu le bilan de l'année écoulée. Et Benoît, si on devait regarder dans le rétroviseur en matière de cybercriminalité cette année 2025, qu'est-ce qu'il faut en retenir ? Benoit Grünemwald: [0:52] Eh bien, moi, je retiendrai qu'il y a eu un certain nombre, pour ne pas dire un nombre certain, de fuites de données, des fuites de données qui ont touché à la fois des entreprises, mais également des fédérations françaises de sport, à peu près plus d'une dizaine, et que ça a touché également des services paraïtatiques, je pense à Page Emploi ou encore à France Travail. Monde Numérique : [1:13] Oui, avec un impact vraiment très conséquent. Les chiffres des piratages, France Travail, etc. France Travail qui a essuyé même plusieurs fuites de données. C'est des proportions qui donnent un peu le tournis. Benoit Grünemwald: [1:26] Oui, des proportions très grandes. Et surtout, ce qui peut être un point d'interrogation, c'est quand on a une fédération telle que la Fédération française de foot, on a forcément des adultes, mais on a aussi des adolescents, voire des enfants. Alors, si pour les enfants, les parents, généralement, mettent leur propre adresse e-mail, pour des adolescents qui vont peut-être recevoir des e-mails d'hameçonnage, on peut se poser la question de la façon dont ils vont réagir, de la façon dont on doit, nous, les sensibiliser, les protéger. Benoit Grünemwald: [1:56] Et ça au vu des fuites de données on peut se poser la question de, 2026 quant au pourquoi pas à la création de bases qui vont faire une sorte de profil sur des personnes et vu l'ampleur des fuites de données je pense qu'on peut dire que quasiment tout le monde pas loin de tout le monde a été touché en 2025. Monde Numérique : [2:15] C'est-à-dire que tout le monde a été touché en 2025, mais on n'en subira les conséquences qu'en 2026 ? Benoit Grünemwald: [2:21] Parce qu'il va falloir le temps que les cybercriminels s'organisent. Il semble qu'il y ait d'ailleurs des cybercriminels plutôt spécialisés dans la récupération de ces informations et la création de bases. Alors, on sera forcément ciblé par des emails qui vont faire du spam, de l'hameçonnage sur tout un chacun. Mais il y a certainement des bases de données et des profils qui vont être sortis Quand on voit que la Fédération française de tir contient un certain nombre de licenciés qui peuvent être soit des personnes tout à fait normales, on va dire, des citoyens, des anonymes, des citoyens lambda, mais également des personnes des forces de l'ordre, si on arrive à recouper toutes ces informations, on peut, notamment grâce à l'intelligence artificielle, établir des profils. Et dans ce cas-là, on le voit, certains ont reçu la visite de faux policiers. Est-ce lié directement à la fuite de cette base de données ? Les enquêtes le diront, parce que ça arrive, ça arrive, ce n'est pas la première fois que ça arrive, mais il y a certainement un effet qui va permettre de voir s'il y a une corrélation entre ces événements. Monde Numérique : [3:22] C'est-à-dire que là, on sort du champ purement virtuel et numérique et on s'aperçoit qu'il y a des passerelles véritablement avec le monde réel, entre guillemets, ce qui est pour le moins effrayant. Alors, vous parlez de l'IA. Monde Numérique : [3:37] Est-ce que 2025 a été une année tournant en matière d'utilisation de l'IA par les cyberattaquants ? Benoit Grünemwald: [3:44] Oui, parce que, donc là, on est fin décembre. Si on me demandait en novembre, par exemple, quel est l'usage de l'intelligence artificielle et notamment pour écrire des logiciels malveillants par les cybercriminels, eh bien, il y a encore un mois, je vous aurais dit, c'est simplement des tests où ça sert à faire une réécriture sur des petits morceaux de code, mais pas toute l'intégralité du code. Et ça, ça a drastiquement évolué, déjà entre l'été 2025 et la fin de cette année où des chercheurs ont trouvé des logiciels qui ont la capacité de se réécrire partiellement ou complètement grâce à l'intelligence artificielle et notamment par quelque chose que l'on n'avait pas vu avant, c'est l'utilisation d'API, c'est-à-dire que le logiciel malveillant est déployé, il arrive sur le poste de la victime et une fois qu'il est sur le poste de la victime, il va discuter avec une intelligence artificielle qui elle est sur un serveur contrôlé par l'attaquant et lui poser des questions pour savoir si ce qu'elle a trouvé sur la machine de la victime est intéressant, est-ce qu'elle va le chiffrer, est-ce qu'elle va l'envoyer, est-ce qu'elle va l'exfiltrer, est-ce qu'elle va le détruire ? Et là, on voit qu'il y a un stade qui a été passé par les cybercriminels dans l'utilisation de ces outils. Reste à savoir si on est principalement sur des proof of concept, c'est-à-dire des tests, ou si c'est vraiment bien utilisé. Benoit Grünemwald: [5:05] En tant que défenseur, j'ai quand même tendance à dire que mes laboratoires voient en ces logiciels pour l'instant un début de fonctionnement et que malgré tout, on arrive quand même à très bien les identifier et donc les bloquer. Monde Numérique : [5:18] D'accord, ça c'est plutôt une bonne nouvelle. Au chapitre de l'IA au service de la cybercriminalité, il y a eu cette tentative, cette utilisation massive et importante de l'agent Claude, qui a été détourné par un groupe de pirates pour des actions à mauvais escient. Benoit Grünemwald: [5:41] Exactement. Alors, c'est un rapport d'Enthropic qui dit que les agents de Claude ont été utilisés pour une attaque presque en un clic, en faisant en sorte que des agents fassent ce qu'ils savent faire de mieux, c'est-à-dire qu'ils s'enchaînent. Et à chaque étape, ils avaient demandé aux cybercriminels ce qu'ils pensaient des résultats pour pouvoir avancer et être guidés. Donc là, on voit un peu comme les dark factories qui fonctionnent sans personne, que l'IA peut, elle aussi, amener des cybercriminels à faire des attaques assez évoluées avec des agents et donc avec assez peu d'interactions humaines. Monde Numérique : [6:19] Oui, parce que le principe, c'est vraiment de demander à l'IA de faire des choses pour nous. Et alors, en plus, ils avaient découpé tout ça en petites tranches, je crois, pour que ce ne soit pas trop repérable, etc. Benoit Grünemwald: [6:29] Tout à fait. On sait qu'une attaque, c'est à peu près 13 étapes qu'il faut enchaîner pour réussir, de l'analyse de la cible au premier pas dans l'entreprise, jusqu'à la découverte de ce qu'il y a dans l'entreprise. Et puis, la charge utile, on va dire, l'exfiltration, le rensonjiciel, et bien grâce à ces agents plutôt spécialisés, ils ont découpé effectivement ces tâches, ce qui leur permettait au fur et à mesure de ne pas avoir finalement à coder, c'est-à-dire qu'à un simple clic, et puis là, le premier agent dit j'ai trouvé ça, est-ce que ça vous intéresse ? Oui, on continue. Le deuxième a dit je vais tenter de l'attaquer comme ça, très bien, très bonne idée, essaye ça. Et puis en fait, il n'y a plus forcément de code, c'est l'agent qui va réaliser les opérations et les enchaîner. Monde Numérique : [7:12] Benoît, est-ce qu'on peut imaginer que l'IA, Alors, ce n'est pas exactement ce que vous décrivez finalement, mais si on se projette un peu, on a peur que l'IA tue des emplois, remplace certains professionnels, etc. Est-ce que l'IA pourrait mettre au chômage les cyber malfaiteurs ? Benoit Grünemwald: [7:31] Il n'y a aucune raison pour que ce que l'on va voir arriver du côté légal ne se produise pas du côté illégal, ce qui veut dire que les moins bons et ou ceux qui n'utiliseront pas l'intelligence artificielle se verront très certainement dépassés par les techniques que nous mettons en place, nous défenseurs, qui seront plus robustes et qui vont demander à être, à ce qu'ils soient eux attaquants, plus performants. Et donc s'ils n'arrivent pas à se mettre au goût du jour et ce fameux jeu du chat et de la souris prend encore plus de sens dans la période que nous vivons, si eux-mêmes n'arrivent pas à se mettre au goût du jour, il y a de fortes chances pour qu'ils aient de plus en plus de mal à réussir leurs attaques. Monde Numérique : [8:11] À suivre, oui, bien sûr. Alors, justement, la bonne nouvelle, c'est que les défenseurs utilisent aussi l'intelligence artificielle et de manière plutôt heureuse, avec de bons résultats. Benoit Grünemwald: [8:22] Oui, exactement. On a vu notamment une intelligence artificielle gagner un concours de hacking, donc tester les failles de sécurité, rentrer dans des attaques, faire des attaques avant que les cybercriminels ne le fassent. Donc ça, toute entreprise, on va dire sérieuse, le fait pour savoir quelle est sa surface d'attaque, est-ce qu'elle est vulnérable ? Monde Numérique : [8:41] On se croit les pen tests. Benoit Grünemwald: [8:43] Exactement, ce sont les pen tests. Un certain nombre de sociétés, d'ailleurs des très grandes sociétés françaises le font. Monde Numérique : [8:48] Ça veut dire test de pénétration. Benoit Grünemwald: [8:50] Test de pénétration. Et donc ça se fait soit sur le réseau de l'entreprise. Donc on dit, est-ce que tu arrives à attaquer les smartphones ? Est-ce que tu arrives à attaquer les voitures ? Ce qu'on a vu d'ailleurs, un employé qui a, avec sa voiture, permis à des cyberattaquants de rentrer finalement dans l'entreprise. Est-ce que mes serveurs de messagerie, est-ce que mes serveurs d'application sont bien protégés, etc. Et ça se fait aussi sur les applications en elles-mêmes. Et on a vu qu'il y a une intelligence artificielle qui est arrivée première dans un concours de ce type-là et qui a réussi à dépasser toutes les attentes des hackers, donc les bons pirates, les bons hackers qui étaient dans cette compétition. Monde Numérique : [9:30] Donc, meilleure que les hackers, mais est-ce qu'elle était meilleure que les IA utilisées par les hackers ? Benoit Grünemwald: [9:37] Alors, encore une fois, et ça rejoint ce que vous avez dit tout à l'heure, la question est qui va l'utiliser ? Comment est-ce que ça va être utilisé ? Parce que l'IA en elle-même est très puissante, c'est évident, mais elle doit être amenée à son objectif par un être humain. Donc, si vous avez un travail, quel qu'il soit, et que vous ne savez pas prompter ou que vous ne savez pas utiliser l'intelligence artificielle telle qu'il le faut, au final, en tant qu'outil, vous aurez certainement des résultats qui ne seront peut-être pas forcément mauvais, mais en tout cas pas probants. Donc, encore une fois, L'IA en tant que telle, c'est très bien, mais il va falloir se mettre à jour, nous défenseurs et eux attaquants et ou hackers éthiques, pour tirer le meilleur de cette IA. Monde Numérique : [10:17] Et puis alors, vous utilisez également l'IA pour analyser les attaques et même pour les prédire. Benoit Grünemwald: [10:23] Oui, c'est ce que l'on appelle la cyber threat intelligence. Et donc, ce renseignement sur la menace en français s'appuie sur un très grand nombre d'informations, des attaques que l'on répertorie. Et on va utiliser l'intelligence artificielle pour tirer des fils rouges, lui poser des questions sur la façon dont les attaques sont menées. Est-ce que ces attaques sont pertinentes, par exemple, pour mon secteur d'activité, si je suis dans le transport, dans le transport maritime, dans le commerce, eh bien, cette intelligence artificielle va venir analyser des données et des données, vraiment beaucoup d'informations sur les attaques. Et à partir de là, on va pouvoir lui poser, encore une fois, les bonnes questions, parce que si on n'a pas le bon prompt, on n'arrivera pas forcément à en tirer la quintessence. Et on va lui poser la bonne question pour savoir si, par exemple, Elle voit cette intelligence artificielle des groupes qui habituellement étaient alignés avec les intérêts, par exemple, de la Corée du Nord, qui ciblaient des sociétés dans le secteur aéronautique, se tournaient vers d'autres secteurs. Et là, l'intelligence artificielle va permettre de lire un très grand nombre d'informations et d'aller chercher précisément ces fameuses informations dont on a besoin pour prédire et prévenir les différentes attaques techniques menées par ces groupes d'attaquants. Monde Numérique : [11:41] Dernière question, vous y avez déjà un peu répondu, mais comment est-ce que vous voyez 2026 ? On a l'impression que finalement vous êtes, vous défenseur, au sens large, j'ai l'impression un petit peu moins pessimiste qu'il y a un an même. Benoit Grünemwald: [11:57] Oui, tout à fait. On voit que l'intelligence artificielle progresse, mais elle progresse dans les deux camps. Alors, pour donner le dessous des cartes, chez nous, défenseurs, on l'utilise depuis 1997. Alors, forcément, avec des méthodes qui ne sont pas celles qui sont celles actuelles, avec des réseaux de neurones, du deep learning, etc. Mais finalement, on a vraiment vu une évolution et les défenseurs ont embrassé l'intelligence artificielle, certainement comme dans d'autres secteurs, mais nous, c'est vraiment très, très appliqué. Et quand on voit comment les cybercriminels, eux, l'utilisent, on voit qu'ils l'utilisent surtout de manière nouvelle. Alors, les agents vont poser un certain nombre de problèmes, mais au final, on arrive quand même à ne pas faire en sorte que le jeu du chat et de la souris soient trop disproportionnés. Et effectivement, il y aura un certain nombre d'attaques en 2026. Il faut se protéger, il faut être informé, il faut être plus vigilant face à l'hameçonnage qui est meilleure qualité, quantité. Mais pour autant, nous, défenseurs, prenons le train de l'intelligence artificielle générative, celle qui est actuelle, parce que le train de l'IA, Benoit Grünemwald: [13:05] on l'a depuis longtemps. Et on sent une très bonne dynamique, on sent un écosystème aussi qui est extrêmement large. On voit par exemple avec le rapport d'Enthropy que ces éditeurs. Benoit Grünemwald: [13:18] Ces fournisseurs d'intelligence artificielle ne laissent pas la cybersécurité de côté, ce qui est prometteur parce que ça veut dire que, On ne va pas avoir des IA débridés, en tout cas dans les modèles commerciaux, parce que les cybercriminels savent les sortir et faire leurs propres outils. Mais en tout cas, dans les modèles commerciaux, on ne verra pas d'usage débridé de l'intelligence artificielle par des cybercriminels, et notamment des cybercriminels peut-être un peu amateurs. Monde Numérique : [13:45] Oui, c'est ça. Ce qu'on appelait à l'époque les script kiddies, les sales gamins seuls dans leur chambre qui s'amusaient à pirater et qui finalement pourraient être lentés de le faire aujourd'hui avec ChatGPT ou autre parce que c'est trop facile. Sauf que des mesures sont prises pour que, en tout cas, cette couche-là de la cybercriminalité ne se développe pas trop. Benoit Grünemwald: [14:05] Complètement. Et puis, on note qu'en 2025, il y a eu un certain nombre d'opérations de police-justice sur des groupes de rançongiciels, des groupes de logiciels qu'on appelle infostyler, donc des kleptogiciels, avec du succès. Benoit Grünemwald: [14:19] Et donc, il n'y a pas d'impunité sur Internet. On peut difficilement se cacher et ces scripts qui disent vont faire face à des autorités à des forces de police plus armées techniquement et dans tous les sens du terme et donc ceux qui souhaitent se lancer feront face très certainement à des problématiques plus complexes que celles qu'ils n'y étaient auparavant Ben voilà. Monde Numérique : [14:43] C'est dit qu'ils le sachent. Merci Benoit Grünemwald, expert cybersécurité chez ESET. Benoit Grünemwald: [14:49] Merci Jérôme.