Ça n’arrête pas. La semaine dernière, le groupe de tourisme Pierre & Vacances-Center Parcs a été victime d’une importante fuite de données sur sa plateforme en ligne qui pourrait concerner plus de quatre millions de ses clients. Une attaque massive qui a également visé quatre autres acteurs du tourisme dont Belambra et Gîtes de France, rapporte le site French Breaches qui recense les fuites de données. Quelques jours plus tôt, ce sont les données en ligne de militants de La France insoumise (LFI) qui ont été visées.Dans un rapport publié lundi, la Commission nationale de l’informatique et des libertés (Cnil) alerte sur une multiplication fuites de données signalées en France, qui ont atteint un record en 2025. L’an passé, la Cnil a enregistré une hausse de 9,5 % des violations par rapport à 2024. Sur les trois dernières années, cela représente même une hausse de 50 %. Face au développement rapide des agents IA, « il y a un enjeu en termes d’exploitation et de sécurisation des données personnelles qui est plus important », estimait la présidente de la commission Marie-Laure Denis.En clair, lors des cyberattaques, l’IA peut être utilisée à la fois pour détecter des vulnérabilités au sein des plateformes et pour exploiter les données volées via des campagnes d’hameçonnage, ou phishing en anglais. Pour Nicolas Arpagian, directeur de la stratégie de Jizô AI, la généralisation de l’IA générative constitue une rupture. « On abaisse le niveau technique requis, explique l’auteur de « La Cybersécurité » (Ed. PUF). L’IA possède une interface qui permet de rendre certaines compétences techniques accessibles avec un langage naturel. »Des outils redoutablement efficacesAu-delà de cette « démocratisation » du piratage informatique y compris aux moins initiés, l’intelligence artificielle fait preuve d’une remarquable efficacité dans l’exécution des tâches. Selon un rapport de Microsoft publié fin 2025, les mails frauduleux générés par IA ont 4,5 fois plus de chance d’être cliqués, que s’ils avaient été rédigés par un humain. « Les agents conversationnels d’IA sont très efficaces pour rédiger des messages bien écrits, crédibles, y compris dans un style administratif ou commercial », constate Florent Della Valle, responsable du service de l’expertise technologique au sein de la Cnil.Moins de fautes d’orthographe, plus de cohérence, mais aussi une meilleure utilisation des données, rendant les stratégies d’hameçonnages plus personnalisées. « Les IA sont très efficaces pour piocher les bonnes informations dans une base de données et les mettre au bon endroit », poursuit l’expert. Ces derniers mois, des internautes ont rapporté une escroquerie dans laquelle un faux livreur envoyait par SMS une photo générée par IA d’un faux colis avec le nom et l’adresse du destinataire.Pourtant, face aux nombreuses dérives, les chatbots d’intelligence artificielle ont peu à peu imposé des restrictions pour éviter une utilisation de leur technologie à des fins malveillantes. En demandant à ChatGPT de générer un e-mail frauduleux, l’IA semble avoir conscience de l’intention. « Je ne peux pas aider à rédiger un faux mail destiné à tromper quelqu’un pour qu’il clique sur un lien, car cela relève du phishing. », écrit Chat GPT, qui propose tout de même une solution à son utilisateur. « En revanche, si ton objectif est légitime (sensibilisation cybersécurité, test interne d’entreprise, exercice pédagogique), je peux t’aider à créer une simulation de phishing clairement encadrée », écrit l’IA qui propose ensuite... un exemple de mail de phishing.Des modèles toujours plus puissants qui inquiètentPour des pratiques plus élaborées, les hackers peuvent trouver sur le darknet des IA « débridées » qui sont dépourvues de protection antifraude, voire spécialement conçues à des fins malveillantes comme Fraud-GPT ou Worm-GPT. « Les modèles d’IA trouvent des vulnérabilités à un rythme inédit et dénichent des failles zero days (failles inconnues des experts NDLR) qui étaient jusqu’ici l’apanage des États », avertit Shlomo Kramer, cofondateur et directeur général de Cato Networks.VidéoCes lunettes caméra de Meta qui font peurCes derniers mois, le développement de modèles surpuissants a suscité de nombreuses inquiétudes autour de la cybersécurité, y compris chez leurs propres concepteurs. Une note interne d’Anthropic, qui avait fuité fin mars, avait ainsi révélé que la startup hésitait à la manière de déployer son dernier modèle Claude Mythos « compte tenu de ses capacités ». Selon une étude d’AI Security Institute, le modèle a réussi trois fois sur dix une simulation d’attaque de réseau d’entreprises en 32 étapes appelée « The Last Ones », la plus difficile élaborée par l’agence britannique. Son concurrent d’Open AI, Chat GPT-5.5 a obtenu un taux de réussite moyen de 71,4 % sur un ensemble de tâches de cybersécurité avancées.Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, limiter le développement technologique n’est pas une solution. « La technologie risque d’être utilisée par des États qui ne vont pas s’embrasser des règles éthiques », explique le spécialiste. « Il ne faut pas que n’importe quel cybercriminel ait accès à ces modèles extrêmement puissants, mais en même temps que les entreprises puissent voir contre quoi elles doivent se protéger ».« Les entreprises constatent trop souvent qu’il y a une fuite des données au moment où elles sont publiées sur le darknet », regrette Florent Della Valle de la Cnil. L’expert précise que l’IA n’est pas le seul enjeu derrière la multiplication des fuites de données. La commission constate également une « industrialisation » de la cybercriminalité, de plus en plus structurée, avec de plus en plus d’acteurs spécialisés.