Vendredi 19 septembre 2025, retrouvez Benoit Grunemwald (Directeur des affaires publiques, ESET France) dans SMART CYBER, une émission présentée par Delphine Sabattier.
00:00Édition spéciale de SmartCyber, aujourd'hui tournée en direct du palmarès de l'informaticien.
00:10On commence cette émission avec le point cyber et Benoît Grunemwald, bonjour.
00:15Bonjour.
00:16Benoît, merci de nous avoir rejoints, mais vous n'êtes pas là pour rien puisque vous êtes le directeur des affaires publiques et expert des laboratoires EZ.
00:21EZ qui a reçu un prix que l'on voit positionné devant vous. Félicitations, le prix de la rédaction dans la catégorie EDR.
00:30Bravo, mais ce n'est pas de ça dont on va parler ensemble. Je vous ai convié parce que je voulais qu'on discute de ce premier ransomware piloté par l'IA, par l'IA génératif, capable de générer du code malveillant automatiquement.
00:43Alors, qu'est-ce qu'on a découvert ? Quand est-ce qu'on l'a découvert ?
00:46On l'a découvert fin août et c'est un logiciel qui effectivement utilise l'intelligence artificielle pour réagir en fonction de ce qu'il va trouver sur les machines qu'il a infectées.
00:55Il s'appelle comment ce nouveau méchant ?
00:57Il s'appelle Prompt Lock.
00:58D'accord. Et comment est-ce qu'on l'a découvert ?
01:01Eh bien, on l'a découvert parce qu'on fait des analyses, notamment sur Virus Total, qui est un espace sur lequel les chercheurs, mais également les entreprises, peuvent partager des samples, des échantillons de virus.
01:12Et il se trouve d'ailleurs à posteriori qu'on avait deviné que c'était un proof of concept, donc un test.
01:18Et un chercheur a effectivement affirmé la paternité de ce logiciel.
01:23Et il a déclaré que, d'ailleurs, il n'aurait pas dû se retrouver dans la nature.
01:28Malgré tout, quand on l'a analysé, on a été extrêmement surpris.
01:31C'est-à-dire ?
01:32C'est-à-dire que ce logiciel va créer des scripts en fonction de ce qu'il va trouver et va non pas télécharger l'intégralité d'un modèle d'intelligence artificielle sur toutes les machines qui l'infectent, ce qui serait impossible à faire tourner, mais il va utiliser des API, des API publiques, pour aller requêter des modèles d'intelligence qui sont dans le cloud, donc ceux que l'on peut utiliser, nous, au quotidien.
01:54Et grâce à ça, en ayant ces promptes et en ayant les réponses de la part de l'intelligence artificielle, eh bien, il va pouvoir évoluer dynamiquement et en temps réel sur les machines qui l'infectent.
02:03En fait, c'est un malware qui utilise une IA générative, comme nous, pour trouver des solutions.
02:10Exactement. Alors, du coup, le professeur, pas le cybercriminel, mais celui qu'il a créé, a anticipé quels étaient les cas d'usage qu'il allait rencontrer, a codé ces différentes questions, ces différents promptes.
02:22Et grâce à ça, eh bien, il va interroger cet IA au sein de cette intelligence artificielle.
02:28Donc ça, c'est vraiment une nouvelle génération, aujourd'hui, de menaces. Je voulais qu'on passe au conseil du pro. Vous êtes un pro de la cybersécurité.
02:36Benoît, qu'est-ce que vous nous conseillez face à cette nouvelle génération de menaces qui arrive ?
02:41Eh bien, il y a plusieurs aspects à considérer, notamment en fonction de sa taille et de sa maturité.
02:45En ce qui concerne la maturité, eh bien, on voit qu'il y a certaines entreprises qui sont, aujourd'hui, soumises, notamment à Nice 2, bien entendu, au RGPD.
02:53Donc ça veut dire qu'il faut prendre en considération la façon dont on va travailler avec son IT.
02:58Il y a un certain nombre de secteurs, notamment le secteur bancaire ou le secteur financier, qui est aussi soumis à DORA et d'autres réglementations.
03:04Et dans ce secteur-là, on a assez peu de place à la liberté. Ce qui veut dire que les collaborateurs, par exemple, ne vont pas être autorisés à utiliser ChatGPT ou d'autres modes, d'autres intelligences artificielles.
03:16Et c'est ça qu'il faut contrôler. Comment les utilisateurs vont pouvoir sortir et où ce qui se passe sur notre réseau.
03:22Parce qu'en l'occurrence, pour PromptLock, eh bien, il se faisait passer pour un logiciel légitime sur la machine et communiquait comme si c'était un utilisateur vers une intelligence artificielle.
03:32Alors, on ne va pas interdire à tous les collaborateurs d'une entreprise de prompter pour aller chercher des réponses au risque d'être pris pour un malware ou non ?
03:40Non, c'est à réguler et à encadrer. Notamment, il y a des solutions qui sont internes à l'entreprise, qui peuvent très bien fonctionner.
03:48Des solutions qui sont encadrées dans des data centers qui sont propres ou à l'entreprise ou en colocation.
03:54Et puis, si on utilise des JIA génératives généralistes, eh bien, il faut effectivement être conscient de ce que l'on peut faire ou pas avec.
04:00Vous pouvez nous parler aussi d'une autre menace hybride Petya-Rossomware.
04:07Alors, qu'est-ce qu'il a de spécifique ? Expliquez-nous parce que je vous le ferai mieux que moi.
04:11Alors, encore une fois, on l'a trouvé aussi sur VirusTotal.
04:15Et là, on ne pense pas que ce soit l'œuvre d'un chercheur, mais bien d'une menace qui évolue.
04:20Et ce qu'il faut se souvenir, c'est que notre Petya avait fait plus de 10 milliards de dégâts.
04:28C'est un très mauvais souvenir.
04:30C'est un très, très mauvais souvenir pour toute la profession et pour tous ceux qui se sont fait attaquer par notre Petya.
04:36Déjà, ce qu'il est important de noter, c'est que dans cette nouveauté, ce hybride Petya, il n'y a pas le mécanisme agressif qui a fait que notre Petya s'est répandu à travers la planète.
04:45Donc, on peut déjà souffler un petit peu. Malheureusement, au sein de ce logiciel malveillant, il y a tous les éléments qui ont fait l'agressivité de l'attaque notre Petya,
04:55avec notamment la possibilité de chiffrer la table de partition NTFS, ce qui veut dire que c'est l'endroit où le système va chercher des informations concernant les fichiers, d'une part.
05:06Et d'autre part, qu'elle est capable d'attaquer cette menace, l'UFI.
05:09Donc, l'UFI, c'est anciennement le BIOS, c'est ce qui va démarrer la machine et faire en sorte que la machine puisse évoluer.
05:15Et sans ça, il n'y a pas de démarrage de Windows, de Linux ou même d'un autre système, parce qu'on est vraiment sur le démarrage, le cœur même de la machine.
05:24D'accord. Et là encore, un conseil peut-être à partager avec nous ?
05:27Oui, faire en sorte que ce qui s'installe sur le BIOS, l'UFI, soit contrôlé, d'éviter que l'on puisse mettre à jour et ou accéder à cette UEFI tout à chacun,
05:38donc des mots de passe. Et puis ensuite, faire en sorte que les solutions de sécurité que l'on utilise puissent contrôler, elles aussi, l'UFI,
05:46que malheureusement, on a un peu trop tendance à oublier.
05:49C'est vrai ? Ah oui, c'est ce que vous constatez.
05:51Alors, EZET a aussi rejoint un groupe de travail Europol.
05:55Est-ce que vous pouvez nous en dire plus sur l'objet du travail cyber avec Europol ? Est-ce que vous en attendez ?
06:02Oui, l'objectif est de pouvoir participer à des démantèlements, comme on a réalisé beaucoup en 2024 et 2025.
06:08Ces démantèlements ne peuvent pas se faire uniquement avec les forces de l'or.
06:11Démantèlements de quoi ? De crimes organisés ?
06:12Alors, de groupes d'attaquants et particulièrement des groupes d'attaquants de logiciels infostyleurs, logiciels voleurs d'information.
06:19Et ces groupes fonctionnent finalement comme les groupes de rançongiciels.
06:22Donc, vous avez un éditeur malveillant, des affiliés et à partir de là, ils vont essayer de déployer au maximum ces logiciels malveillants.
06:28Et comme ils opèrent dans le monde entier, les forces de l'ordre doivent s'unir.
06:33Mais les privés, les entités privées comme nous, sont également de la partie, notamment pour analyser à la fois les infrastructures, mais également les logiciels malveillants.
06:43Et donc, on va collecter, et dans le cas des infostyleurs, on a participé à plus d'une année de recherche dans le plus grand des secrets avec les forces de l'ordre
06:50pour collecter et analyser les infrastructures et le fonctionnement des cybercriminels, pour ensuite donner ces éléments aux forces de l'ordre et à la justice pour qu'elles puissent, elles, mener leur propre action.
07:00Et vous en avez vu le résultat, en fait, des opérations derrière qui ont pu être menées de manière très concrète ?
07:06Oui, et d'ailleurs, 2024 et 2025 ont été pour moi l'année sur laquelle on a le plus lutté contre les infostyleurs.
07:13Et alors, l'univers, le monde n'aime pas le vide, ce qui veut dire que dès qu'il y avait un démantèlement d'un groupe ou d'un autre,
07:20eh bien, un autre venait prendre la place et récupérer malheureusement les clients de ces groupes d'infostyleurs.
07:27Et donc, on a quand même réussi à démanteler un bon nombre de ces logiciels malveillants, mais le travail est sans fin et on continue.
07:36C'est pour ça à rejoindre des groupes de travail avec des forces de l'ordre, la police, la justice, pour être plus forts ensemble.
07:43Et c'est pour ça qu'il faut continuer à se préparer aux cyberattaques.
07:47On n'est jamais à l'abri et c'est notre sujet à la une.
Écris le tout premier commentaire