L’IA générative est souvent placée dans les scénarios de risque les plus extrêmes : un agent IA hautement autonome qui se désengage de tout contrôle, se connecte à Internet, utilise des outils de piratage, puis finit par prendre le contrôle du système financier, des ressources de calcul, voire d’infrastructures critiques. Toutefois, dans un article récent, des chercheurs du Cambridge Cybercrime Centre de l’université de Cambridge, de l’université d’Édimbourg et de l’université de Strathclyde expliquent que, pour comprendre la véritable menace que l’IA fait peser sur la cybercriminalité, cette imagination façon science-fiction pourrait au contraire passer à côté du vrai sujet.
Les forums souterrains s’intéressent davantage à ChatGPT, bien plus que au Dark AI
L’article intitulé 《Stand-Alone Complex or Vibercrime? Exploring the adoption and innovation of GenAI tools, coding assistants, and agents within cybercrime ecosystems》, rédigé par Jack Hughes, Ben Collier et Daniel R. Thomas, a été soumis sur arXiv le 31 mars 2026.
Les auteurs soutiennent que l’impact de l’IA générative sur la cybercriminalité ne peut pas être compris uniquement à partir de la question « l’IA peut-elle écrire du code malveillant ». Il faut plutôt considérer le marché souterrain de la cybercriminalité comme un écosystème constitué de vendeurs d’outils, de prestataires de services, d’opérateurs peu qualifiés et de petits entrepreneurs criminels.
L’article propose deux concepts, comme bornes supérieures et inférieures de l’impact de l’IA sur la cybercriminalité. Le scénario haut est appelé Stand-Alone Complex, c’est-à-dire « crime-gang-in-a-box » : des agents IA matures packagent la cybercriminalité vendue en service — auparavant nécessitant la répartition du travail entre plusieurs personnes — sous forme de système semi-automatisé, permettant à un seul acteur d’exécuter des processus qui, auparavant, requéraient une équipe criminelle.
Le scénario bas est appelé Vibercrime : il renvoie à la « vibe coding », aux assistants de codage et aux chatbots qui abaissent certaines barrières techniques, mais sans véritablement remodeler le modèle économique et la structure économique de la cybercriminalité.
La conclusion de l’équipe de recherche est assez contre-intuitive : à ce jour, la communauté de cybercriminalité souterraine s’intéresse bien fortement à des outils comme ChatGPT, Claude, Gemini, Cursor, Copilot, WormGPT, etc., mais on ne voit pas de preuves que l’IA générative ait déjà bouleversé à grande échelle l’écosystème de la cybercriminalité. L’article indique que, pour le moment, l’IA ressemble davantage à un outil de productivité intégré dans des processus criminels existants, plutôt qu’à la création d’une nouvelle révolution industrielle de la criminalité.
Retour des « films de hackers » à l’économie souterraine : la cybercriminalité ressemblait déjà à un ensemble de petites entreprises technologiques
L’article commence par retracer l’évolution de l’écosystème de la cybercriminalité. À ses débuts, la cybercriminalité ressemblait davantage à une culture d’expérimentation portée par quelques hackers très qualifiés, mettant l’accent sur la maîtrise technique, la défiance envers l’autorité et la créativité ; mais, à partir des années 2000, la cybercriminalité s’est progressivement industrialisée : elle est devenue un marché fondé sur des outils, des scripts, des modèles, des droits d’accès initiaux, la location de botnets et une répartition des tâches incluant le support client. C’est ce qu’on appelle la cybercrime-as-a-service.
Les auteurs estiment que le marché souterrain de la cybercriminalité invente en réalité rarement des technologies de pointe. Les véritables travaux sur les vulnérabilités, les techniques de red team avancées et les nouvelles méthodes d’attaque viennent le plus souvent de la recherche académique, des sociétés de cybersécurité ou des unités de sécurité gouvernementales ; les criminels souterrains sont surtout doués pour reconditionner des technologies matures, copier des outils issus d’industries légitimes, développer des modèles commerciaux, et automatiser des processus parfois ennuyeux mais rentables.
C’est aussi pourquoi les auteurs pensent que l’impact réel de l’IA sur la criminalité ne réside peut-être pas dans le fait que des « débutants » sauraient soudain écrire des 0-day, mais plutôt dans des aspects plus triviaux : l’automatisation du service client, la génération de contenus de fraude, la traduction de scripts d’escroquerie, la gestion de comptes, le traitement de processus back-office, l’optimisation de la fraude SEO, l’animation de robots de communauté, ou encore l’amélioration de l’efficacité des activités grises déjà très automatisées, mais à faible marge bénéficiaire.
Méthodologie : suivre 15 ans, plus de 1 million de contenus de forums souterrains et de données de discussion
L’importance de cet article tient à ceci : il ne se limite pas à des tests en laboratoire, ni à des inférences à partir de quelques cas d’entreprises de cybersécurité. Il s’appuie sur le jeu de données CrimeBB du Cambridge Cybercrime Centre. Ce jeu de données couvre plus de 15 ans et plus de 1 million de publications sur des forums souterrains ainsi que des canaux de discussion, incluant des thèmes comme le vol de comptes, la fraude SEO, la triche dans les jeux, les revenus passifs, les escroqueries amoureuses et l’ingénierie sociale.
L’équipe de recherche a utilisé des mots-clés tels que artificial intelligence, LLM, GPT, Claude, Gemini, prompt, Copilot, vibe coding, OpenAI, model, generative, machine learning, AI, etc. Au départ, elle a obtenu 808 526 threads ; puis, après avoir exclu les discussions antérieures à la publication de ChatGPT, elle s’est concentrée sur les données entre le 1er novembre 2022 et le 10 décembre 2025, et a finalement obtenu 97 895 threads pour l’analyse.
Les auteurs combinent ensuite des modèles de sujets, le suivi de mots-clés, une classification assistée par LLM et une analyse manuelle à visée qualitative. Il est à noter que l’équipe de recherche reconnaît aussi que, lorsqu’elle classe des discussions de forums souterrains localement à l’aide de LLM, la classification fine n’est pas fiable ; environ 80% des publications marquées comme pertinentes par le modèle sont effectivement liées à l’IA ou au vibe coding, mais les catégories précises se trompent presque toujours.
Cela devient, paradoxalement, une preuve annexe intéressante dans l’article : les LLM ne peuvent souvent qu’aider les chercheurs à trouver « ce qu’ils savent déjà qu’ils doivent chercher », ce qui limite clairement leur capacité d’exploration.
Les forums souterrains parlent le plus souvent de ChatGPT ; WormGPT n’est pas aussi important que l’imaginaire le laisserait penser
D’après les tendances des mots-clés, ChatGPT est le produit d’IA le plus fréquemment discuté dans les forums souterrains ; les discussions autour de Claude progressent de manière régulière, celles de Gemini augmentent nettement après la sortie de Gemini 1.5, tandis que Grok fait l’objet de quelques vagues de discussions brèves. En comparaison, les discussions sur Codex sont moins nombreuses, et des modèles de type WormGPT, comme les modèles jailbroken, bien que très médiatisés par les médias cybersécurité, ne déclenchent pas d’explosion de discussions continue dans les forums.
L’article indique que la communauté souterraine manifeste bien une excitation culturelle autour du soi-disant Dark AI. Sur les forums, on voit des publicités pour WormGPT, des versions « blackées » de ChatGPT, des modèles sans limites, des outils d’IA orientés attaque, etc., et beaucoup de personnes demandent comment obtenir un accès gratuit. Mais l’équipe de recherche constate que la plupart de ces discussions s’arrêtent à « comment obtenir l’outil », « comment l’IA pourrait changer le monde des hackers à l’avenir », ou « tester si le modèle accepte de répondre à des questions illégales », plutôt qu’à un usage massif et réussi de ces outils pour développer des capacités criminelles.
Le point plus crucial encore : l’équipe de recherche ne voit aucune preuve claire montrant que des débutants apprennent des compétences de piratage réellement réalisables grâce au Dark AI, ni qu’ils génèrent des outils malveillants capables de fonctionner de manière stable. À l’inverse, certains utilisateurs se plaignent que le code produit par ce type d’outils n’est pas fiable et nécessite beaucoup de connaissances spécialisées pour être corrigé ; cela fait des LLM jailbroken une sorte de performance culturelle souterraine, plutôt qu’une percée technique majeure dans l’écosystème de la cybercriminalité.
L’IA n’a pas transformé les débutants en hackers ; elle ressemble plutôt à un remplacement de Stack Overflow et des cheatsheets
L’une des décisions les plus importantes de l’article est que l’IA ne réduit pas significativement le niveau de compétences central requis pour la cybercriminalité. Pour les utilisateurs déjà capables, les assistants de codage peuvent aider à écrire de petits bouts de code, corriger des erreurs, compléter la syntaxe et réaliser des tâches générales d’ingénierie logicielle ; mais cela ressemble plutôt à un remplacement de Stack Overflow, des cheatsheets, de la recherche Google pour corriger des erreurs et du copier-coller de code, plutôt qu’à la création de nouvelles capacités criminelles.
Pour les utilisateurs peu qualifiés, l’utilité du vibe coding est au contraire limitée. La raison est simple : ils ne savent pas forcément si le code généré par l’IA est utilisable, ni comment l’intégrer, le corriger et le maintenir. Plutôt que d’utiliser un chatbot pour écrire depuis zéro un outil instable, beaucoup de débutants sur les forums souterrains préfèrent encore des scripts existants, des modèles, des packs de tutoriels, ou des outils déjà prêts fabriqués par d’autres.
Autrement dit, l’IA ne permet pas pour l’instant de faire passer directement un « script kiddie » à un hacker avancé ; elle améliore plutôt un peu l’efficacité de ceux qui savent déjà coder. Cela explique aussi pourquoi les auteurs estiment que, même si l’on craint l’essor d’un « Vibercriminal », on surestime peut-être l’ampleur des changements actuels.
Ce que l’IA change vraiment : la fraude SEO, les robots de communauté et les escroqueries amoureuses
Même si l’article contredit le récit anxiogène d’une explosion de la criminalité liée à l’IA, il ne dit pas que l’IA n’a aucune utilité criminelle. Les recherches montrent que les scénarios d’adoption les plus évidents concernent plutôt des activités grises existantes : à grande échelle, à faible marge, et très automatisées, comme la fraude SEO, les robots de communauté, l’automatisation de la production d’articles via l’IA, les fermes à contenu, certaines escroqueries amoureuses et de l’ingénierie sociale.
Ces scénarios ont en commun qu’ils dépendent déjà fortement de la production de grandes quantités de contenu, de grands volumes de comptes, de tâches répétitives et d’une stratégie de contournement des règles des plateformes. L’IA générative peut améliorer la qualité des textes, renforcer les capacités de traduction, varier les formats de contenu poubelle, réduire les probabilités de détection par des règles simples, et rendre les processus automatisés existants moins chers et plus faciles à étendre.
Ainsi, le risque de cybercriminalité induit par l’IA pourrait ne pas être « une guerre de hackers déclenchée par un agent IA seul », mais plutôt un problème plus réaliste, plus ennuyeux, et plus proche de la nature même de l’économie des plateformes : elle rendrait les activités grises existantes plus faciles à mettre à l’échelle dans des domaines comme le contenu, les comptes, la publicité, le SEO, l’exploitation de la communauté et les escroqueries de niveau inférieur à faible coût.
Stand-Alone Complex n’apparaît pas encore, mais l’informatisation des plateformes pourrait créer de nouvelles surfaces d’attaque
Concernant le scénario haut Stand-Alone Complex, les auteurs estiment qu’aucune preuve d’un état pleinement abouti n’est encore visible. Les agents IA n’ont pas encore intégré le ransomware, les attaques DDoS, la gestion des botnets, les flux de paiement, le support client et l’exploitation d’infrastructures dans un véritable produit « boîte » de « gang criminel ». Mais l’article n’exclut pas complètement cette possibilité future.
Les auteurs rappellent que si les plateformes en elles-mêmes passent, à partir de leurs modèles des 20 dernières années — display ad, recherche, trafic social — à une nouvelle architecture centrée sur le chatbot et des réponses générées par l’IA, les acteurs des activités grises déjà familiers avec le SEO, les fermes à contenu, les fermes à comptes, l’infrastructure de robots et les joutes de contournement des règles de la plateforme pourraient trouver de nouveaux espaces de rentabilité. Autrement dit : l’IA ne rend pas forcément les criminels plus technologiques, mais elle pourrait modifier la structure économique des plateformes légitimes, et donc modifier la position où les criminels trouvent où arbitrer.
C’est aussi l’angle le plus intéressant de l’article : l’impact maximal de l’IA sur la cybercriminalité pourrait ne pas venir du fait que les forums souterrains inventent eux-mêmes une nouvelle technologie, mais du fait que l’industrie légitime de l’IA modifie la structure de l’ensemble du web — flux de trafic, contenu, publicité, recherche et automatisation — permettant aux activités grises existantes de trouver de nouvelles failles.
Recommandation des auteurs : ne pas paniquer, mais ne pas ignorer l’effet multiplicateur des crimes automatisés de bas niveau
En conclusion, les recommandations de l’article aux décideurs politiques, à l’industrie et aux forces de l’ordre peuvent se résumer en une phrase : ne pas paniquer. L’équipe de recherche estime que l’adoption d’outils d’IA dans l’écosystème de la cybercriminalité souterraine, pour le moment, reste fragmentée, progressive et non révolutionnaire ; on ne peut pas appliquer directement l’adoption du codage par IA dans l’industrie logicielle légitime au business de la cybercriminalité, car de nombreux modèles économiques criminels ne dépendent pas réellement de capacités techniques avancées.
Mais « ne pas paniquer » ne veut pas dire « il n’y a aucun risque ». Les auteurs indiquent que les guardrails des modèles, l’ajustement et la friction d’utilisation restent efficaces, surtout dans les scénarios de mauvais usage de bas niveau, à grande échelle et automatisé : cela peut augmenter le coût pour les criminels et, via la saturation et la concurrence pour les ressources, limiter la taille des activités grises. Ces mesures ne peuvent pas empêcher des attaquants avancés motivés, mais peuvent réduire l’expansion des abus à faible coût.
Cet article propose un cadre plus calme et plus réaliste que « la fin du monde des hackers par l’IA » : à ce jour, l’IA n’a pas permis à des débutants de devenir hackers du jour au lendemain, et elle n’a pas non plus créé d’organisations criminelles entièrement automatisées ; elle ressemble plutôt à une intégration des cybercriminels dans l’ère du travail assisté par l’IA. Le véritable problème n’est pas de savoir si l’IA rend les criminels surhumains, mais comment elle amplifie les gains marginaux des activités grises existantes, l’arbitrage des plateformes, l’automatisation du contenu et les escroqueries à faible coût.
Cet article : l’IA n’a pas transformé les débutants en hackers ! Étude britannique : l’IA est surtout utilisée pour du contenu indésirable et des escroqueries sentimentales. Apparition la première fois sur Chaîne News ABMedia.
