L'intelligence artificielle crée un effet multiplicateur dans les cyberattaques
ESET, leader mondial de la cybersécurité, a publié son rapport sur les menaces à mi-temps 2026, qui résume les tendances du paysage des menaces observées dans la télémétrie ESET de décembre 2025 à mai 2026 et les informations des experts en détection et recherche des menaces d'ESET.

Selon le rapport, le premier semestre 2026 montre comment les attaquants continuent d'améliorer l'efficacité et l'évolutivité de leurs opérations. L’intelligence artificielle (IA) joue un rôle de plus en plus important dans cette évolution. ESET a analysé près de 900 000 compétences d’IA, qui sont de petits composants fonctionnels utilisés par les agents d’IA. Il a détecté des milliers d’échantillons clairement malveillants avec des dizaines de milliers de suspects. L'intelligence artificielle commence également à apparaître au sein des logiciels malveillants : les chercheurs d'ESET ont identifié PromptSpy, le premier malware Android connu à utiliser l'IA générative dans son flux d'exécution.
Jiří Kropáč, directeur des laboratoires de prévention des menaces chez ESET, a déclaré : "Au lieu de s'appuyer sur des méthodes et des outils complètement nouveaux, les attaquants adaptent rapidement les techniques établies aux nouvelles plates-formes, technologies et comportements des utilisateurs. Le nombre de capacités d'IA dans ce nouvel écosystème augmente actuellement rapidement, permettant des attaques." « D’un autre côté, PromptSpy démontre le potentiel d’une résilience accrue contre les menaces futures – même si les garanties contre les abus incluses dans les LLM ralentissent probablement l’adoption de cette technologie. »
Les capacités d'IA sont de petits plug-ins ou des ensembles d'instructions qui indiquent à un agent d'IA comment effectuer une tâche spécifique, y compris les services ou outils à utiliser et les données auxquelles accéder. Le rapport publié détaille les compétences d'IA malveillantes utilisant des outils de piratage tiers tels que Mimikatz ou Impacket, ainsi que les compétences d'auto-modification suspectes conçues pour créer un mécanisme de persistance (fichier JSON) et un outil d'auto-modification (code Python). Cela peut conduire à un comportement imprévisible de l’agent ou à des abus de la part d’un attaquant. Enfin, il existe également des fonctionnalités inoffensives mais problématiques commercialisées comme des scanners de sécurité qui créent un faux sentiment de sécurité mais appliquent uniquement des techniques d'analyse de base (comme les outils antivirus des années 1990) ou interrogent la réputation des hachages, des URL et des adresses IP sur VirusTotal.
ClickFix, une technique d'ingénierie sociale qui exploite de faux messages d'erreur, s'est étendue au-delà des fausses alertes CAPTCHA pour inclure des pages d'aide, des extensions de navigateur et des scénarios d'authentification cloud sur le thème de l'IA. AI-fix montre comment les attaquants exploitent la confiance dans l’IA générative ; Les attaquants intègrent des chaînes d'attaque ClickFix dans le contenu de dépannage généré par l'IA pour des problèmes inexistants sur les pages qui abusent des domaines des géants de l'IA. ConsentFix, d'autre part, met en évidence une évolution vers le vol de jetons, combinant une interaction de type ClickFix avec un abus d'autorisation OAuth pour prendre le contrôle des comptes cloud sans avoir besoin de voler les informations d'identification et en s'appuyant sur des flux de connexion entièrement légitimes, contournant souvent l'authentification multifacteur (MFA). Les détections de ce vecteur par ESET ont plus que doublé entre le second semestre 2025 et le premier semestre 2026, ce qui indique que l'activité se poursuit et que les attaquants s'adaptent.
Le phishing par code QR a atteint des niveaux records
Les campagnes de phishing évoluent également en réponse au comportement des utilisateurs. Le phishing par code QR, également connu sous le nom de « quishing », a atteint des niveaux records dans les données de télémétrie ESET. Les attaquants placent des liens malveillants dans les codes QR pour contourner les contrôles et déplacer l'interaction des utilisateurs vers les appareils mobiles, tout en exploitant la confiance implicite que de nombreuses personnes accordent aux codes-barres à motif carré. Environ 11 % de tous les e-mails de phishing détectés au cours du premier semestre 2026 utilisaient des codes QR, et les menaces de phishing par code QR étaient les plus courantes aux États-Unis (19 % des détections), en Espagne (17 %) et au Mexique (6%).
Les attaques de rançon se poursuivent
L'activité des ransomwares n'a montré aucun signe de ralentissement ; Les tueurs EDR conçus pour désactiver les logiciels de sécurité lors d'attaques ont continué à être utilisés. ESET Research a documenté plus de 100 tueurs EDR différents utilisés dans le monde réel, et de nouvelles variantes continuent d'apparaître régulièrement.Bien que le nombre d’attaques de ransomware continue d’augmenter au premier semestre 2026, le nombre de victimes prêtes à payer a atteint un plus bas historique. Trois rapports récents de l'industrie confirment cette tendance à la baisse, indiquant que la proportion de victimes payantes se situe entre 14 et 28 %.






