Le laboratoire Cato CTRL (Cyber Threats Research Lab) vient de publier son deuxième rapport annuel sur les menaces IA, fondé sur l’analyse de 6,7 trillions de flux réseau issus de plus de 4 000 clients à travers le monde en 2025. Le constat est sans appel : les attaquants n’exploitent plus seulement des vulnérabilités techniques. Ils exploitent la confiance accordée à l’IA elle-même.

Les 5 découvertes majeures de Cato CTRL en 2025

1. ChatGPT-4o comme outil de fraude documentaire

Le 25 mars 2025, OpenAI lançait la génération d’images pour ChatGPT-4o. En quelques jours, les chercheurs de Cato CTRL ont démontré que cet outil permettait de créer des faux passeports et documents d’identité en quelques prompts, sans jailbreak. Cette découverte illustre le concept de « zero-knowledge threat actor » : l’IA générative abaisse à zéro la barrière technique pour commettre des fraudes documentaires à grande échelle. Les équipes sécurité doivent désormais intégrer la détection de documents synthétiques à leurs processus.

2. WormGPT fait sa réapparition avec Grok et Mixtral

WormGPT, l’outil GenAI non censuré apparu en juin 2023 sur HackForums avant d’être démantelé en août 2023, est de retour sous de nouvelles formes. Cato CTRL a identifié des variantes inédites propulsées par xAI’s Grok et Mistral AI’s Mixtral, distribuées sur BreachForums. Ces outils permettent de générer du contenu de phishing, du code malveillant et des attaques d’ingénierie sociale à une échelle industrielle — sans les garde-fous des LLMs mainstream.

3. Living Off AI — l’attaque par proxy via Atlassian MCP

Cato CTRL a démontré une attaque proof-of-concept (PoC) ciblant le Model Context Protocol (MCP) d’Atlassian et Jira Service Management. Le mécanisme est redoutable dans sa subtilité : un attaquant externe soumet un ticket de support contenant une payload d’injection de prompt. Lorsqu’un utilisateur interne déclenche une action IA sur ce ticket (résumé, analyse), le payload s’exécute avec les permissions internes de l’utilisateur. L’attaquant gagne ainsi un accès privilégié sans jamais avoir compromis de système directement — le concept de « Living Off AI ».

4. HashJack — injection de prompt via les fragments d’URL

HashJack est une technique d’injection de prompt indirecte inédite. Elle exploite le fait que les navigateurs IA (Perplexity Comet, Microsoft Copilot for Edge, Gemini for Chrome) transmettent l’intégralité des URLs — y compris ce qui suit le symbole # — à leurs assistants. Un attaquant peut ainsi dissimuler des instructions malveillantes dans le fragment d’une URL légitime. L’utilisateur consulte un site de confiance, l’assistant IA exécute les commandes cachées : exfiltration de données, vol de credentials, désinformation. Les payloads URL-fragment ne quittant jamais le client, les défenses réseau traditionnelles sont aveugles à ce vecteur.

5. MedusaLocker weaponisé via Claude Skills

Claude Skills (Anthropic), lancé en octobre 2025, permet aux utilisateurs de créer et partager des modules de code personnalisés. Cato CTRL a démontré qu’une skill apparemment légitime peut être modifiée à la marge pour déclencher le ransomware MedusaLocker — en silence, sous les prompts d’approbation visibles de l’utilisateur. Avec plus de 300 000 clients entreprise chez Anthropic, le risque de propagation via social engineering est considérable. Coût moyen estimé d’un incident ransomware : 5,08 millions de dollars (IBM Cost of a Data Breach Report 2025).

Le chiffre qui change tout : 92 % d’adoption IA en entreprise

Le rapport dresse un panorama de l’adoption IA dans les réseaux d’entreprise en 2025. Les cinq outils les plus utilisés — Copilot (Microsoft), OpenAI, Gemini, Grammarly, Perplexity — ont affiché une croissance trimestrielle continue, avec des hausses allant de +24 % (Grammarly) à +72 % (Gemini) entre Q1 et Q4 2025.

Plus significatif encore : 20 des 25 secteurs analysés dépassent 90 % d’adoption IA au Q4 2025. Même les secteurs les plus prudents — technologie, télécommunications, médias, à 86 % — n’ont jamais chuté sous 82 %. L’adoption n’est plus un enjeu à gérer : c’est un fait accompli. Le défi se déplace vers la gouvernance.

Ce phénomène alimente la croissance du Shadow AI : des outils IA déployés hors de tout contrôle IT, fonctionnant sous des CGU grand public où les données soumises peuvent être stockées, journalisées, voire utilisées pour l’entraînement des modèles. Une exfiltration de données sensibles sans déclencher la moindre alerte SIEM.

Recommandations opérationnelles

Le rapport formule quatre axes de réponse à destination des équipes sécurité :

Traiter tous les inputs IA comme non fiables. Validation, sanitisation et isolation de contexte doivent s’appliquer à l’ensemble des données ingérées par les systèmes IA — y compris les métadonnées, URLs et fragments.

Étendre le monitoring aux workflows IA. Corréler les interactions IA avec les logs comportementaux, le trafic réseau et les journaux applicatifs. Alerter sur toute exécution de tâche inhabituelle ou tout accès à des données inattendues.

Appliquer le principe de moindre privilège aux agents IA. Séparer les privilèges de lecture, écriture et exécution. Exiger une approbation humaine explicite pour toute action à fort impact : exports de données, modifications système, déclenchement de workflows critiques.

Gouverner l’usage enterprise de l’IA. Inventorier les services IA actifs, y compris les extensions navigateur et les outils embarqués. Définir des politiques d’usage granulaires et auditer régulièrement les intégrations IA dans l’architecture de sécurité.

Conclusion

Le rapport Cato CTRL 2026 marque un tournant dans la lecture des menaces cyber : l’IA n’est plus seulement un outil défensif, c’est désormais un vecteur d’attaque à part entière. HashJack, le Living Off AI, la weaponisation de Skills — ces découvertes montrent que la surface d’attaque s’est déplacée. Elle ne se situe plus uniquement dans les systèmes informatiques, mais dans les interactions entre humains, données et IA. Pour les équipes sécurité, l’enjeu de 2026 sera moins d’empêcher l’adoption que d’en prendre le contrôle.