Le 26 août 2025, les chercheurs d’ESET ont annoncé une découverte significative : PromptLock, le premier ransomware connu à utiliser l’intelligence artificielle pour générer ses scripts malveillants en temps réel.
Cette innovation technique, bien qu’encore au stade expérimental, illustre l’évolution à prévoir des ransomwares dans un context où l’IA devient largement accessible.
PromptLock utilise, en effet, le modèle gpt-oss:20b d’OpenAI via l’API Ollama pour créer dynamiquement des scripts Lua adaptés à chaque environnement cible.
Analysons ce que cette découverte révèle sur l’avenir de la cybersécurité et les implications concrètes pour les organisations.
Le fonctionnement technique de PromptLock
Une architecture innovante
Selon l’analyse de SecurityWeek, PromptLock fonctionne selon le processus suivant :
- Binaire Go : le programme principal lance des prompts prédéfinis
- Génération IA : le modèle gpt-oss:20b crée des scripts Lua malveillants
- Exécution adaptative : ces scripts s’ajustent aux systèmes Windows, Linux et macOS
- Actions malveillantes : reconnaissance, exfiltration et chiffrement SPECK 128-bit
Flexibilité de déploiement
Contrairement aux premières impressions, PromptLock n’exige pas forcément l’installation d’Ollama sur chaque machine cible.
Comme l’expliquent les experts d’IT News Australia, le malware peut se connecter à un serveur Ollama distant via proxy ou tunnel, ce qui élargit considérablement son potentiel de déploiement…
Le modèle gpt-oss:20b est un modèle Open source, accessible à tous, et relativement léger. Il n’a besoin que de 16 Go de Vram pour fonctionner sur des Gpus relativement modestes.
PromptLock dispose de capacités complètes de vol et de chiffrement de données. Cependant, les chercheurs d’ESET ont identifié une fonctionnalité de destruction de données qui reste pour l’instant non implémentée dans le code.
« En fonction des fichiers utilisateur détectés, le malware peut exfiltrer les données, les chiffrer, ou potentiellement les détruire. Bien que la fonctionnalité de destruction ne semble pas encore implémentée », précisent les experts d’ESET Research.
Un détail intriguant : l’adresse Bitcoin utilisée dans les prompts semble appartenir à Satoshi Nakamoto, le créateur du Bitcoin – probablement un clin d’œil symbolique des développeurs.
Pour le chiffrement, PromptLock s’appuie sur l’algorithme SPECK 128-bit. Bien qu’ESET considère ce code comme une preuve de concept ou un projet en développement, l’équipe de recherche souligne l’importance d’alerter la communauté cybersécurité sur ces risques émergents.
Statut actuel et implications
Une proof of concept (PoC) pleine d’avenir
PromptLock reste pour l’instant au statut de proof of concept. ESET confirme qu’aucune attaque active n’a été observée, et la page Ransomware.live ne recense, d’ailleurs, aucune victime actuellement.
Cette situation offre une opportunité précieuse : celle de se préparer avant qu’une menace similaire ne devienne opérationnelle.
Anton Cherepanov d’ESET, interrogé par CyberScoop, le confirme : « Aucune évidence d’usage malveillant dans notre télémétrie ». Cette fenêtre de temps est précieuse pour l’adaptation des défenses.
L’évolution des menaces cyber
PromptLock illustre une tendance majeure : l’intégration de l’IA dans les cyberattaques. Cette évolution pose de nouveaux défis :
- Variabilité accrue : chaque exécution génère des scripts différents
- Détection complexifiée : les signatures fixes deviennent insuffisantes
- Adaptation requise : les stratégies défensives doivent évoluer
Impact sur les stratégies de cybersécurité
De nouveaux défis défensifs
La principale innovation de PromptLock n’est pas technique mais conceptuelle : l’assemblage dynamique des étapes d’attaque. Cette approche rend obsolètes certaines méthodes de détection traditionnelles et nécessite une évolution des pratiques.
Recommandations stratégiques
Les experts recommandent une approche en trois axes :
1. Surveillance comportementale
- Monitoring des exécutions de scripts Lua inhabituelles
- Détection d’anomalies dans les accès aux données
- Corrélation intelligente des événements
2. Contrôles réseau
- Surveillance des connexions vers services LLM non autorisés
- Monitoring du port 11434 (Ollama par défaut si un déploiement local est adoptée par les hackers)
- Segmentation renforcée des réseaux critiques
3. Gouvernance IA
- Politiques d’utilisation des outils IA internes
- Garde-fous contre le détournement d’IA
- Formation des équipes aux nouvelles menaces
Comparaison avec les ransomwares traditionnels
| Aspect | Ransomware classique | PromptLock |
|---|---|---|
| Code | Statique, prédéfini | Généré dynamiquement |
| Détection | Signatures identifiables | Empreinte variable |
| Développement | Expertise technique requise | Assisté par IA |
| Adaptabilité | Limitée aux cas prévus | Flexible selon l’environnement |
Cette comparaison révèle l’ampleur du changement conceptuel que représente PromptLock, même dans sa version expérimentale.
Perspectives d’évolution
Ce que nous apprend PromptLock
Cette découverte nous donne un aperçu de l’évolution probable des cybermenaces :
- Automatisation croissante : l’IA facilitera la création de malwares sophistiqués
- Personnalisation avancée : adaptation fine aux environnements cibles
- Barrières abaissées : accès facilité aux techniques avancées pour plus d’acteurs
Préparation nécessaire
Les organisations qui anticipent cette évolution prendront un avantage concurrentiel. L’investissement dans les technologies défensives alimentées par l’IA devient stratégique.
Investissements possibles
- Solutions de sécurité intégrant l’IA
- Plateformes de détection comportementale avancée
- Capacités de réponse automatisée intelligente
Ce qu’il faut retenir
PromptLock marque une étape importante dans l’évolution des risques liés aux ransomwares Cette preuve de concept démontre que l’intégration de l’IA dans les attaques n’est plus une question de science-fiction mais de réalité technique qui va bientôt être mise en œuvre dans des cas d’attaque ransomware réels.
Points essentiels :
- L’IA change les règles du jeu en cybersécurité
- Les défenses traditionnelles montrent leurs limites
- L’adaptation proactive devient un avantage concurrentiel
- La fenêtre d’opportunité pour se préparer est ouverte
Conclusion
La découverte de PromptLock offre une opportunité rare : anticiper l’évolution des menaces avant qu’elles ne deviennent critiques. Cette innovation technique, même au stade expérimental, révèle la direction que prendront très vraisemblablement les cyberattaques futures.
Les organisations qui comprennent cette évolution et adaptent dès maintenant leurs stratégies défensives prendront une longueur d’avance décisive. L’intégration de l’IA dans la cybersécurité n’est plus une option mais une nécessité stratégique.
L’avenir de la cybersécurité se prépare aujourd’hui. PromptLock nous montre le chemin : celui d’une cybersécurité où l’intelligence artificielle redéfinit les équilibres, créant de nouveaux défis auxquels les organisations doivent s’adapter au plus vite.
Sources principales :
