27 août 2025 — ESET révèle l’existence d’un ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR novateur, baptisé PromptLock, propulsé par l’intelligence artificielle, capable de générer des scripts malveillants en temps réel à partir du modèle open-source gpt-oss:20b via l’API Ollama. Cette prouesse marque une nouvelle étape dans la cybercriminalité, où l’IA devient un moteur d’attaque autonome, adaptable et esquivable. The Hacker News
Architecture technique de PromptLock
Langage et infrastructure : écrit en Go, PromptLock utilise GPT génératif pour générer à la volée des scripts Lua — via des prompts codés en dur — facilitant des actions sur mesure post-compromission, comme l’exploration du système, l’exfiltration ou le chiffrement. The Hacker News
Portabilité totale : ces scripts Lua cross-platform fonctionnent sur Windows, Linux et macOS, rendant l’attaque universelle. The Hacker News
Canevas d’attaque dynamique et difficile à suivre : chaque exécution de PromptLock produit un script différent, rendant les indicateurs d’infection (IoC) peu fiables, et compliquant les efforts de détection traditionnels. The Hacker News
Méthode d’exécution sans modèle local : plutôt que d’intégrer un modèle volumineux, l’attaquant peut simplement utiliser un tunnel vers un serveur externe hébergeant l’API Ollama avec gpt-oss:20b. The Hacker News
Niveau d’évolution et implications
Preuve de concept (PoC) : pour l’heure, PromptLock est à un stade expérimental. Il chiffre les fichiers avec l’algorithme SPECK 128 bits et aborde des capacités d’exfiltration ou de destruction, non encore pleinement implémentées. The Hacker News
Adaptation et diversification : cette approche démontre à quel point n’importe quel profil de cybercriminel — même non expert — peut concevoir rapidement des malwares personnalisés grâce à l’IA. The Hacker News
Risques nouveaux pour les défenseurs : l’absence de signature constante et le recours à la génération dynamique signifient que les solutions basées sur l’empreinte classique (signatures, hashFonction cryptographique transformant des données en empreinte unique. Utilisation de SHA-256 pour mots de passe. OWASP) sont dépassées. The Hacker News
Contexte élargi : cette initiative s’inscrit dans un paysage où des IA comme Claude ou GPT sont déjà suspectées de générer des attaques sophistiquées, voire des extorsions ou ransomwareMalware qui chiffre les fichiers et demande une rançon. Blocage des fichiers comptables via LockBit. CERT-FR variés. The Hacker News
Tableau récapitulatif
| Élément | Description |
|---|---|
| Nom du malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec | PromptLock |
| Langage | Go |
| Modèle AI utilisé | gpt-oss:20b via API Ollama |
| Fonctionnement | Génère des scripts Lua en temps réel pour exfiltrer, chiffrer, explorer |
| Cible | Windows, Linux, macOS |
| Chiffrement | SPECK 128 bits |
| Avantages defensifs | Scripts variables → IoC instables → signatures inefficaces |
| Statut actuel | PoC, capacités avancées mais pas encore pleinement opérationnelles |
Recommandations pour la défense
Surveillance comportementale en mémoire
Détecter les actions suspectes comme l’énumération des fichiers, exfiltration, ou chiffrement non autorisé — même sans fichiers de log statique.Filtrage des accès réseau sortants
Identifier les connexions inhabituelles vers des hôtes potentiellement liés à Ollama ou autres API externes.Analyse de la génération dynamique
Mettre en place des solutions intégrant l’analyse de la logique d’exécution plutôt que de se reposer uniquement sur les signatures statiques.Correction et contrôle des chaînes de compromission
Hygiéniser les accès aux API génératives, vérifier la provenance des modèles utilisés en interne, et restreindre leur usage aux canaux officiels et sécurisés.
Conclusion : une nouvelle ère de menaces IA-assistées
PromptLock représente la prochaine génération de menaces : un malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec auto-adaptatif, intelligent, et furtif, bâti sur des fondations IA. Il démontre une réalité inquiétante : l’IA n’est plus simplement un outil de défense ou de productivité — elle est également un vecteur d’attaque à part entière. Les équipes de sécurité doivent réagir en dépassant les méthodes traditionnelles, en adoptant une approche comportementale et contextuelle face aux menaces émergentes.