En exploitant la puissance de l’intelligence artificielle, PromptLock marque un tournant redouté dans le monde des ransomwares. Capable de générer des attaques dynamiques, ce logiciel malveillant intelligent bouscule les systèmes de sécurité traditionnels et annonce une nouvelle ère dans la guerre numérique.
PromptLock : le ransomware boosté par l’IA qui défie la cybersécurité
By
Published on 30 août 2025 17h00
128Le ransomware PromptLock utilise en outre l’algorithme de chiffrement SPECK 128-bit, développé par la NSA.
Lles chercheurs d’ESET ont révélé l’existence de PromptLock, un ransomware inédit qui s’appuie sur un modèle de langage de type GPT pour orchestrer des cyberattaques évolutives. Ce malware autonome, exécuté localement, mobilise l’intelligence artificielle pour contourner les défenses traditionnelles et complexifier les méthodes de détection. Avec PromptLock, les ransomwares franchissent un nouveau seuil, inquiétant les acteurs de la cybersécurité.
Quand l’IA devient complice des ransomwares : le cas PromptLock
Ce que redoutaient les analystes est désormais concret : l’intelligence artificielle ne se contente plus d’être une cible potentielle, elle devient l’alliée stratégique des logiciels malveillants. PromptLock, identifié par ESET Research à la fin août 2025, incarne cette bascule.
Selon les chercheurs, « PromptLock utilise le modèle gpt-oss:20b d’OpenAI localement via l’API Ollama pour générer à la volée des scripts Lua malveillants, qu’il exécute ensuite. » (ESET, WeLiveSecurity, 26 août 2025). En d’autres termes, le logiciel est capable de générer dynamiquement ses propres scripts malveillants en réponse à des instructions codées, rendant chaque exécution potentiellement unique.
Ce fonctionnement basé sur le langage Lua permet à PromptLock d’énumérer les fichiers locaux, de cibler des données précises, d’exfiltrer des documents sensibles ou encore de procéder à un chiffrement automatique. « PromptLock exploite des scripts Lua générés à partir d’instructions codées en dur pour énumérer le système de fichiers local, inspecter les fichiers ciblés, exfiltrer les données sélectionnées et effectuer un chiffrement », expliquent les chercheurs d’ESET sur Wired le 27 août 2025. Une telle autonomie opérationnelle constitue une menace inédite pour les infrastructures visées.
Un code instable mais redoutable, conçu pour l’évasion
PromptLock n’est pas encore une arme pleinement déployée, mais son architecture laisse présager une large diffusion. Le ransomware a été découvert via VirusTotal, sans qu’une attaque active n’ait encore été recensée. D’après les chercheurs, « Bien que de nombreux éléments indiquent que cet échantillon est un prototype ou un travail en cours plutôt qu’un logiciel malveillant pleinement opérationnel déployé dans la nature, nous estimons qu’il est de notre responsabilité d’informer la communauté de la cybersécurité de tels développements », des propose rapportés par ITPro le 27 août 2025.
Le logiciel est écrit en Golang, ce qui facilite son portage vers divers systèmes d’exploitation. S’il cible déjà Windows et Linux, sa compatibilité Lua suggère qu’une version pour macOS est également possible. Il utilise en outre l’algorithme de chiffrement SPECK 128-bit, développé par la NSA — un choix technique qui renforce la difficulté de récupération des fichiers une fois la rançon exigée, toujours d'après des explications parues sur ITPro.
Par ailleurs, le code contient une adresse Bitcoin codée en dur liée à Satoshi Nakamoto, ce qui laisse planer une incertitude sur l’intention réelle de ses auteurs : volonté de brouiller les pistes ou clin d’œil cryptographique ? Le mystère reste entier.
Détection impossible ? PromptLock réécrit les règles de la cybersécurité
L’un des aspects les plus perturbants de PromptLock est sa capacité à rendre chaque attaque unique grâce à une forme d’indéterminisme appelée « vibe coding ». En pratique, cela signifie que les indicateurs de compromission (IoC) varient à chaque exécution, rendant les outils d’analyse heuristique beaucoup moins efficaces. Cette tactique fait écho aux méthodes de l’IA générative, qui ne reproduisent jamais strictement le même résultat, même à partir d’une instruction identique.
Selon les experts de Tom’s Hardware, cette variabilité « complique sérieusement les processus d’analyse post-attaque ». Le logiciel apprend ainsi à se réinventer constamment, brouillant les pistes et augmentant les chances de succès d’une infiltration.
Derrière ce PoC se cache une tendance plus large. D’après Wired, des groupes cybercriminels exploitent déjà l’intelligence artificielle pour automatiser l’ensemble du processus de cyberattaque. Anthropic a identifié au moins deux groupes, GTG-5004 et GTG-2002, qui utilisent l’IA pour rédiger la note de rançon, gérer le chiffrement et orchestrer la négociation avec les victimes. Au total, ces groupes auraient touché « au moins 17 organisations ».
PromptLock : mutation programmée du paysage cybercriminel
L’apparition de PromptLock ne se limite pas à une simple démonstration technique. Elle incarne une mutation profonde dans la manière dont les ransomwares sont conçus, pilotés et exécutés. Grâce à des ressources comme GPT, les auteurs de malware n’ont plus besoin d’intégrer des fonctionnalités fixes. Désormais, le logiciel devient modulable, capable de générer ses fonctions sur demande.
Cette évolution s’inscrit dans un contexte où les cybermenaces s’intensifient, notamment contre les entreprises et institutions publiques. La facilité d’accès aux modèles IA open source, comme gpt-oss:20b, renforce la probabilité de réutilisation du schéma PromptLock dans des campagnes d’envergure.
En résumé, PromptLock ne représente pas seulement une menace technique. Il incarne le début d’une phase dans laquelle la créativité des attaquants est démultipliée par des outils jusqu’alors réservés aux usages civils. Ce glissement, s’il n’est pas immédiatement endigué, pourrait rebattre durablement les cartes de la cybersécurité.