{"id":1242,"date":"2025-08-29T15:14:16","date_gmt":"2025-08-29T13:14:16","guid":{"rendered":"https:\/\/dyb.fr\/?p=1242"},"modified":"2025-08-29T15:14:16","modified_gmt":"2025-08-29T13:14:16","slug":"promptlock-eset-decouvre-le-premier-ransomware-booste-a-lia","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/promptlock-eset-decouvre-le-premier-ransomware-booste-a-lia\/","title":{"rendered":"PromptLock : ESET d\u00e9couvre le premier ransomware boost\u00e9 \u00e0 l\u2019IA"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">C\u2019est une premi\u00e8re mondiale qui inqui\u00e8te les experts. Cette semaine, les chercheurs d\u2019ESET ont lev\u00e9 le voile sur <strong>PromptLock<\/strong>, un nouveau type de ransomware capable\u2026 de s\u2019\u00e9crire lui-m\u00eame gr\u00e2ce \u00e0 l\u2019intelligence artificielle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si l\u2019on savait d\u00e9j\u00e0 que les cybercriminels utilisaient l\u2019IA pour r\u00e9diger des mails de phishing plus cr\u00e9dibles, on franchit ici un cap in\u00e9dit : un <strong>malware qui int\u00e8gre directement un mod\u00e8le de langage<\/strong> afin de g\u00e9n\u00e9rer du code malveillant en temps r\u00e9el.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Un virus qui code ses propres outils<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">D\u00e9couvert sur VirusTotal, PromptLock est pour l\u2019instant consid\u00e9r\u00e9 comme un <strong>proof of concept<\/strong> (PoC), une sorte de brouillon ou d\u00e9monstration technique. Il n\u2019a pas encore \u00e9t\u00e9 utilis\u00e9 dans des attaques r\u00e9elles, mais il d\u00e9montre une \u00e9volution pr\u00e9occupante.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Concr\u00e8tement, le programme \u2014 \u00e9crit en Go \u2014 envoie des requ\u00eates \u00e0 un mod\u00e8le <strong>OpenAI gpt-oss:20b<\/strong> via l\u2019API Ollama. L\u2019IA g\u00e9n\u00e8re ensuite des scripts <strong>Lua<\/strong>, qui peuvent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>parcourir et analyser les fichiers d\u2019un ordinateur,<\/li>\n\n\n\n<li>exfiltrer certaines donn\u00e9es,<\/li>\n\n\n\n<li>ou encore chiffrer des documents sensibles \u00e0 l\u2019aide d\u2019un algorithme rapide (SPECK 128-bit).<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Comme si cela ne suffisait pas, PromptLock est aussi capable de r\u00e9diger automatiquement une <strong>note de ran\u00e7on<\/strong>, adapt\u00e9e selon le profil de la victime.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Petit rappel historique : l\u2019auto-mutation avant l\u2019IA<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Bien avant l\u2019\u00e9mergence de ChatGPT et consorts, certains virus utilisaient d\u00e9j\u00e0 des techniques dites <strong>polymorphiques<\/strong> ou <strong>m\u00e9tamorphiques<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Virus polymorphiques<\/strong> (ann\u00e9es 90) : ils gardaient le m\u00eame code de base, mais modifiaient \u00e0 chaque ex\u00e9cution leur signature (par exemple, en changeant la cl\u00e9 de chiffrement ou en ins\u00e9rant du \u201cbruit\u201d inutile dans le code). Objectif : <strong>d\u00e9jouer les antivirus<\/strong> qui s\u2019appuyaient sur des empreintes statiques.<\/li>\n\n\n\n<li><strong>Virus m\u00e9tamorphiques<\/strong> (2000s) : plus sophistiqu\u00e9s, ils r\u00e9\u00e9crivaient carr\u00e9ment leur propre code source, changeant l\u2019ordre des instructions, ajoutant ou supprimant des fonctions redondantes, mais tout en gardant le m\u00eame effet final. Chaque version du virus devenait alors unique.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Ces techniques de mutation demandaient un <strong>travail colossal aux d\u00e9veloppeurs malveillants<\/strong> : il fallait coder \u00e0 la main des moteurs de mutation, anticiper les signatures d\u00e9tect\u00e9es par les antivirus, et tester sans cesse.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Pourquoi c\u2019est si inqui\u00e9tant<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ce qui change tout avec PromptLock, c\u2019est sa <strong>capacit\u00e9 \u00e0 muter en permanence<\/strong>.<br>Contrairement aux ransomwares classiques, dont le code est fixe et peut \u00eatre d\u00e9tect\u00e9 par les antivirus, celui-ci g\u00e9n\u00e8re de nouveaux scripts au fil de l\u2019eau. R\u00e9sultat : une <strong>variabilit\u00e9 quasi infinie<\/strong>, qui complique s\u00e9rieusement la d\u00e9tection et la d\u00e9fense.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour l\u2019instant, certaines fonctions (comme la suppression d\u00e9finitive des fichiers) ne sont pas activ\u00e9es, ce qui renforce l\u2019id\u00e9e qu\u2019il s\u2019agit d\u2019un projet en d\u00e9veloppement plut\u00f4t qu\u2019un outil d\u00e9j\u00e0 en circulation. Mais l\u2019avertissement est clair : si un tel concept venait \u00e0 \u00eatre perfectionn\u00e9 et diffus\u00e9, il pourrait bouleverser le paysage de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Un signal d\u2019alarme pour demain<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ESET le rappelle : aujourd\u2019hui PromptLock est encore au stade exp\u00e9rimental, mais <strong>la menace est bien r\u00e9elle<\/strong>. L\u2019IA, utilis\u00e9e comme un outil cr\u00e9atif et productif pour les entreprises, peut aussi devenir une arme dans les mains des attaquants.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce cas souligne deux enjeux majeurs :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>la n\u00e9cessit\u00e9 de <strong>surveiller l\u2019utilisation des mod\u00e8les IA<\/strong> dans les environnements critiques,<\/li>\n\n\n\n<li>et l\u2019importance d\u2019investir dans des m\u00e9thodes de d\u00e9fense plus adaptatives, capables de d\u00e9tecter non seulement du code connu, mais aussi des comportements suspects g\u00e9n\u00e9r\u00e9s \u00e0 la vol\u00e9e.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">PromptLock n\u2019est pas (encore) une attaque active, mais il marque un tournant. Apr\u00e8s le phishing optimis\u00e9 par IA, voici d\u00e9sormais le <strong>ransomware auto-g\u00e9n\u00e9r\u00e9<\/strong>. Et m\u00eame si ce n\u2019est qu\u2019un prototype, il montre une chose : l\u2019\u00e8re des cyberattaques pilot\u00e9es par intelligence artificielle vient de commencer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour les entreprises comme pour les particuliers, la vigilance n\u2019a jamais \u00e9t\u00e9 aussi cruciale.<\/p>\n\n\n\n<!--more-->\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n\n\n\n<details class=\"wp-block-details is-layout-flow wp-block-details-is-layout-flow\"><summary>Sources<\/summary>\n<p class=\"wp-block-paragraph\">ESET Research \u2013 Blog officiel : <em>The first known AI-written ransomware<\/em><br><a>https:\/\/www.eset.com\/blog\/en\/business-topics\/threat-landscape\/the-first-known-ai-written-ransomware\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">WeLiveSecurity (ESET) : <em>First known AI-powered ransomware uncovered by ESET Research<\/em><br><a href=\"https:\/\/www.welivesecurity.com\/en\/ransomware\/first-known-ai-powered-ransomware-uncovered-eset-research\/?utm_source=chatgpt.com\">https:\/\/www.welivesecurity.com\/en\/ransomware\/first-known-ai-powered-ransomware-uncovered-eset-research\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CyberScoop : <em>ESET researchers uncover PromptLock, the first known AI-powered ransomware<\/em><br><a href=\"https:\/\/cyberscoop.com\/prompt-lock-eset-ransomware-research-ai-powered-prompt-injection\/?utm_source=chatgpt.com\">https:\/\/cyberscoop.com\/prompt-lock-eset-ransomware-research-ai-powered-prompt-injection\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wired : <em>The Era of AI-Generated Ransomware Has Arrived<\/em><br><a>https:\/\/www.wired.com\/story\/the-era-of-ai-generated-ransomware-has-arrived\/<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">TechRadar Pro : <em>The first AI-powered ransomware has been spotted<\/em><br><a>https:\/\/www.techradar.com\/pro\/security\/the-first-ai-powered-ransomware-has-been-spotted-and-heres-why-we-should-all-be-worried<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ITPro : <em>Security researchers have just identified what could be the first \u2018AI-powered\u2019 ransomware strain<\/em><br><a href=\"https:\/\/www.itpro.com\/security\/ransomware\/security-researchers-have-just-identified-what-could-be-the-first-ai-powered-ransomware-strain-and-it-uses-openais-gpt-oss-20b-model?utm_source=chatgpt.com\">https:\/\/www.itpro.com\/security\/ransomware\/security-researchers-have-just-identified-what-could-be-the-first-ai-powered-ransomware-strain-and-it-uses-openais-gpt-oss-20b-model<\/a><\/p>\n<\/details>\n","protected":false},"excerpt":{"rendered":"<p>C\u2019est une premi\u00e8re mondiale qui inqui\u00e8te les experts. Cette semaine, les chercheurs d\u2019ESET ont lev\u00e9 le voile sur PromptLock, un nouveau type de ransomware capable\u2026 de s\u2019\u00e9crire lui-m\u00eame gr\u00e2ce \u00e0 l\u2019intelligence artificielle. Si l\u2019on savait d\u00e9j\u00e0 que les cybercriminels utilisaient l\u2019IA pour r\u00e9diger des mails de phishing plus cr\u00e9dibles, on franchit ici un cap in\u00e9dit [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1244,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22,37],"tags":[21,36,38],"class_list":["post-1242","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite","category-news","tag-cybersecurite","tag-hacking","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=1242"}],"version-history":[{"count":0,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1242\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/1244"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=1242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=1242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=1242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}