Les violations de données explosent en France avec une augmentation de 50 % en trois ans, selon la Cnil. L'intelligence artificielle (IA) révolutionne la cybercriminalité en démocratisant certains outils et en créant des opérations toujours plus sophistiquées.
Une hausse record des fuites de données
La semaine dernière, le groupe de tourisme Pierre & Vacances-Center Parcs a été victime d'une importante fuite de données sur sa plateforme en ligne, qui pourrait concerner plus de quatre millions de clients. Cette attaque massive a également visé quatre autres acteurs du tourisme, dont Belambra et Gîtes de France, selon le site French Breaches. Quelques jours plus tôt, ce sont les données en ligne de militants de La France insoumise (LFI) qui ont été ciblées.
Dans un rapport publié lundi, la Commission nationale de l'informatique et des libertés (Cnil) alerte sur une multiplication des fuites de données signalées en France, qui ont atteint un record en 2025. L'an passé, la Cnil a enregistré une hausse de 9,5 % des violations par rapport à 2024. Sur les trois dernières années, cela représente même une augmentation de 50 %. Face au développement rapide des agents IA, « il y a un enjeu en termes d'exploitation et de sécurisation des données personnelles qui est plus important », estimait la présidente de la commission, Marie-Laure Denis.
L'IA au service des cybercriminels
Lors des cyberattaques, l'IA peut être utilisée à la fois pour détecter des vulnérabilités au sein des plateformes et pour exploiter les données volées via des campagnes d'hameçonnage, ou phishing. Pour Nicolas Arpagian, directeur de la stratégie de Jizô AI, la généralisation de l'IA générative constitue une rupture. « On abaisse le niveau technique requis, explique l'auteur de « La Cybersécurité » (Ed. PUF). L'IA possède une interface qui permet de rendre certaines compétences techniques accessibles avec un langage naturel. »
Des outils redoutablement efficaces
Au-delà de cette « démocratisation » du piratage informatique, l'IA fait preuve d'une remarquable efficacité dans l'exécution des tâches. Selon un rapport de Microsoft publié fin 2025, les mails frauduleux générés par IA ont 4,5 fois plus de chances d'être cliqués que s'ils avaient été rédigés par un humain. « Les agents conversationnels d'IA sont très efficaces pour rédiger des messages bien écrits, crédibles, y compris dans un style administratif ou commercial », constate Florent Della Valle, responsable du service de l'expertise technologique au sein de la Cnil.
Moins de fautes d'orthographe, plus de cohérence, mais aussi une meilleure utilisation des données, rendant les stratégies d'hameçonnage plus personnalisées. « Les IA sont très efficaces pour piocher les bonnes informations dans une base de données et les mettre au bon endroit », poursuit l'expert. Ces derniers mois, des internautes ont rapporté une escroquerie dans laquelle un faux livreur envoyait par SMS une photo générée par IA d'un faux colis avec le nom et l'adresse du destinataire.
Des restrictions contournées
Face aux nombreuses dérives, les chatbots d'IA ont peu à peu imposé des restrictions pour éviter une utilisation malveillante. En demandant à ChatGPT de générer un e-mail frauduleux, l'IA semble consciente de l'intention. « Je ne peux pas aider à rédiger un faux mail destiné à tromper quelqu'un pour qu'il clique sur un lien, car cela relève du phishing », écrit ChatGPT, qui propose tout de même une solution. « En revanche, si ton objectif est légitime (sensibilisation cybersécurité, test interne d'entreprise, exercice pédagogique), je peux t'aider à créer une simulation de phishing clairement encadrée », avant de fournir un exemple de mail de phishing.
Pour des pratiques plus élaborées, les hackers peuvent trouver sur le darknet des IA « débridées » dépourvues de protection antifraude, voire spécialement conçues à des fins malveillantes, comme Fraud-GPT ou Worm-GPT. « Les modèles d'IA trouvent des vulnérabilités à un rythme inédit et dénichent des failles zero days qui étaient jusqu'ici l'apanage des États », avertit Shlomo Kramer, cofondateur et directeur général de Cato Networks.
Des modèles surpuissants inquiétants
Ces derniers mois, le développement de modèles surpuissants a suscité de nombreuses inquiétudes en matière de cybersécurité, y compris chez leurs propres concepteurs. Une note interne d'Anthropic, qui avait fuité fin mars, révélait que la startup hésitait sur la manière de déployer son dernier modèle Claude Mythos « compte tenu de ses capacités ». Selon une étude d'AI Security Institute, le modèle a réussi trois fois sur dix une simulation d'attaque de réseau d'entreprises en 32 étapes appelée « The Last Ones », la plus difficile élaborée par l'agence britannique. Son concurrent d'OpenAI, ChatGPT-5.5, a obtenu un taux de réussite moyen de 71,4 % sur un ensemble de tâches de cybersécurité avancées.
Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, limiter le développement technologique n'est pas une solution. « La technologie risque d'être utilisée par des États qui ne vont pas s'embarrasser de règles éthiques », explique le spécialiste. « Il ne faut pas que n'importe quel cybercriminel ait accès à ces modèles extrêmement puissants, mais en même temps, les entreprises doivent savoir contre quoi elles doivent se protéger. »
Une industrialisation de la cybercriminalité
« Les entreprises constatent trop souvent qu'il y a une fuite des données au moment où elles sont publiées sur le darknet », regrette Florent Della Valle de la Cnil. L'expert précise que l'IA n'est pas le seul enjeu derrière la multiplication des fuites de données. La commission constate également une « industrialisation » de la cybercriminalité, de plus en plus structurée, avec de plus en plus d'acteurs spécialisés.
