Dans un article publié le 26 août 2025, les chercheurs d’ESET révèlent une découverte pour le moins perturbante. Derrière le nom « PromptLock » se cache un malware capable de générer son propre code malveillant et de s’adapter en temps réel à l’environnement ciblé, le tout grâce à l’IA.
Faisons-nous face au tout premier ransomware autonome conduit par l’IA ?
C’est en tout cas ce qu’affirment les équipes de recherche de la société de cybersécurité ESET dans un article paru le 26 août 2025.
Le malware que les chercheurs ont décidé de nommer « PromptLock », à la capacité d’exfiltrer, de chiffrer et peut-être même de détruire des données. Rien de nouveau jusque là, mais ce qui distingue PromptLock des autres ransomware, c’est qu’il n’est pas écrit à l’avance.
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Capable de s’adapter en temps réel à l’environnement dans lequel il est injecté, ce logiciel malveillant peut générer du code adapté à différentes situations.
Une nouvelle caractéristique qui rendrait sa détection et sa neutralisation particulièrement complexes.
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6 pic.twitter.com/wUZS7Fviwi
— ESET Research (@ESETresearch) August 26, 2025
L’IA au cœur de la machine destructrice
Selon les équipes de l’ESET, PromptLock est capable de s’adapter aux systèmes d’exploitation Windows, Linux et macOS. Le tout grâce à une programmation en Golang, un langage particulièrement polyvalent qui permet au malware d’étendre ses capacités d’attaque.
Pour générer du code, PromptLock s’appuie sur le modèle gpt-oss-20b d’OpenAI, exécuté localement via l’API Ollama. Une configuration qui lui permet de produire des scripts malveillant en Lua à la volée. Ces scripts contiennent des prompts intégrés qui amènent le logiciel à cartographier le système de fichiers en local.
La phase de chiffrement, caractéristique des ransomwares, repose pour sa part sur l’algorithme SPECK, optimisé pour fonctionner efficacement même sur des appareils aux ressources limitées.
Un prototype en cours d’élaboration
Pour l’heure, aucune preuve ne laisse penser que PromptLock ait déjà été déployé contre de véritables victimes. Selon ESET, il s’agirait plutôt d’une preuve de concept (PoC) ou d’une version encore en développement. Toutefois, la perspective d’une diffusion plus large, voire d’une mise en vente sous forme de Ransomware-as-a-Service, inquiète déjà la communauté cyber.
Les intentions derrière PromptLock ne font en tout cas aucun doute : une adresse Bitcoin destinée à recevoir d’éventuels paiements de rançon a été trouvée dans le code.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
