Guest Star Wars

Le ministère de la Guerre (DoW) de l’administration Trump annonce des accords avec Google Gemini et xAI afin d’alimenter sa nouvelle plateforme GenAI.mil. Déployée sur tous les ordinateurs de bureau du Pentagone et des installations militaires américaines à travers le monde, elle vise à ouvrir une « nouvelle ère de domination mondiale » grâce au « génie commercial américain ».

War.gov, le site du ministère de la Guerre (DoW, ex-ministère de la Défense renommé en septembre) de l’administration Trump vient d’annoncer qu’il va « étendre son arsenal d’IA » grâce aux « capacités de pointe de la suite xAI for Government », mais sans expliquer comment, ni à quoi cela servira.

Tout juste apprend-on que, prévue pour un déploiement initial début 2026, cette intégration leur permettra d’utiliser les capacités de xAI « Impact Levels 5 (IL5), ce qui permettra le traitement sécurisé des informations contrôlées non classifiées (CUI) dans les flux de travail quotidiens ».

Protéger, stocker, traiter et transmettre des informations non classifiées

IL5 est le deuxième niveau de classification le plus élevé en matière de contrôles de sécurité pour les fournisseurs de services cloud du DoW, conçu pour protéger les informations sensibles contre les acteurs malveillants, explique IPKeys, un prestataire du DoW.

IL4 est en effet conçu pour protéger, stocker, traiter et transmettre des informations contrôlées non classifiées (CUI) liées à des opérations militaires ou d’urgence « qui, si elles étaient compromises, pourraient perturber les opérations, entraîner des pertes financières ou nuire à la vie privée ou au bien-être des personnes ».

IL5 vise pour sa part les informations non classifiées nécessitant un niveau de protection plus élevé, quand IL6 est réservé au stockage et au traitement d’informations classifiées jusqu’au niveau SECRET, et concerne les informations classifiées « qui, si elles étaient obtenues, pourraient menacer les intérêts de la sécurité nationale ».

IL5 viserait dès lors à protéger les Systèmes de sécurité nationale (NSSs) non classifiés soutenant les missions du ministère de la Guerre à :

• la prévention des perturbations : IL5 protège les données nécessaires pour prévenir les défaillances logistiques, les retards opérationnels ou les vulnérabilités susceptibles de nuire aux missions.
• la protection de la R&D : IL5 empêche les adversaires d’obtenir des informations sur les capacités militaires de pointe, ce qui permet de conserver un avantage technologique.
• la protection des partenariats : IL5 garantit la sécurité des échanges de données avec les sous-traitants et les partenaires, protégeant ainsi les informations commerciales sensibles.

Utiliser Grok et X.com « du Pentagone jusqu’au terrain »

Ce nouveau partenariat entre xAI et le bureau du Chief Digital and Artificial Intelligence Officer (CDAO) du DoW permettra d’utiliser ses systèmes d’IA Frontier « alimentés par la famille de modèles Grok », se félicite le communiqué de xAI, « du Pentagone jusqu’au terrain ».

Il précise que xAI for Government est une plateforme d’IA qui combine l’accès aux modèles d’IA de pointe de xAI, à des outils agentiques, à une plateforme de recherche et à une API, et que xAI mettra à disposition une famille de modèles de base optimisés pour le gouvernement afin de prendre en charge les charges de travail opérationnelles classifiées.

Grok, le chatbot de xAI, est tristement connu pour défrayer régulièrement la chronique avec des propos négationnistes, faisant l’éloge d’Hitler, etc. De manière générale, Grok est un superdiffuseur de désinformation.

• Ce que Grok dit des biais politiques de l’IA générative

Le communiqué du DoW précise en outre que les 3 millions de militaires et de civils qu’il emploie « auront également accès à des informations mondiales en temps réel provenant de la plateforme X, ce qui procurera au personnel du ministère de la Guerre un avantage décisif en matière d’information ».

Une « nouvelle ère de domination mondiale » grâce au « génie commercial américain »

Les outils de xAI viendront compléter ceux de Gemini for Government de Google Cloud au sein de GenAI.mil, la nouvelle plateforme d’IA du DoW, qui « vise à former une main-d’œuvre axée sur l’IA, en tirant parti des capacités de l’IA générative pour créer une entreprise plus efficace et prête au combat », annoncée début décembre.

Le communiqué précisait que « d’autres modèles d’IA de classe mondiale seront mis à la disposition de tous les civils, sous-traitants et militaires, conformément au plan d’action de la Maison Blanche en matière d’IA ».

Annoncé par Donald Trump en juillet dernier, il vise à « atteindre un niveau sans précédent de supériorité technologique en matière d’IA ». Le DoW soulignait qu’en réponse à cette directive, « les capacités d’IA ont désormais été déployées sur tous les ordinateurs de bureau du Pentagone et des installations militaires américaines à travers le monde ».

Le communiqué précisait que « Gemini for Government offre un avantage concurrentiel grâce à la conversation en langage naturel, à la génération à enrichissement contextuel (RAG) et à son ancrage web basé sur Google Search, qui garantit la fiabilité des résultats et réduit considérablement le risque d’hallucinations de l’IA » :

« GenAI.mil est un autre élément constitutif de la révolution américaine en matière d’IA. Le ministère de la Guerre ouvre une nouvelle ère de domination opérationnelle, dans laquelle chaque combattant utilise l’IA de pointe comme un multiplicateur de force. Le lancement de GenAI.mil est un impératif stratégique indispensable pour nos forces armées, qui renforce encore la position des États-Unis en tant que leader mondial dans le domaine de l’IA. »

« Nous misons tout sur l’intelligence artificielle comme force de combat. Le département exploite le génie commercial américain et nous intégrons l’IA générative dans notre rythme de combat quotidien », avait déclaré le secrétaire à la Guerre Pete Hegseth : « Les outils d’IA offrent des possibilités illimitées pour accroître l’efficacité, et nous sommes ravis de constater l’impact positif futur de l’IA au sein du département de la Guerre. »

« Nous avons gagné la Première Guerre mondiale. Nous avons gagné la Seconde Guerre mondiale. Nous avons gagné toutes les guerres avant et entre les deux. Puis nous avons décidé de nous réveiller et nous avons changé le nom en ministère de la Défense », avait de son côté déclaré Donald Trump début septembre, pour justifier ce pourquoi « Nous allons donc devenir le ministère de la Guerre. »

Un « code à six chiffres », srsly

Le Canard enchaîné révèle que c’est l’algorithme de surveillance des accès au fichier TAJ qui aurait déclenché l’alerte, 13 jours après que le pirate y a eu accès après avoir dérobé l’identifiant et le mot de passe d’un policier.

Le Canard enchaîné révèle que le « fric-frac informatique du ministère de l’Intérieur » avait duré du dimanche 9 novembre au jeudi 4 décembre, soit 26 jours, « une très longue journée portes ouvertes ».

L’intrusion, révélée dans la presse le jeudi 11 et confirmée par le ministre le lendemain, aurait été découverte le samedi 22 novembre, grâce à l’algorithme qui surveille les requêtes effectuées dans le Traitement des antécédents judiciaires (TAJ). Ce fichier recense « 16,4 millions de personnes » ayant été « mises en cause », et dès lors « défavorablement connues » des services de police et de gendarmerie, pour reprendre l’expression consacrée.

• 24 millions et moi, et moi… : l’équivalent du tiers de la population est « défavorablement connue » de la police
• 12 ans que la CNIL dénonce le fichier TAJ des personnes « défavorablement connues »… en vain

« C’est la consultation compulsive – le week-end et la nuit – de ce listing ultra-sensible qui a déclenché l’alerte », souligne le Canard. Il ne précise pas cependant pourquoi il a fallu 13 jours à l’algorithme pour repérer qu’un pirate avait réussi à accéder au système de Circulation Hiérarchisée des Enregistrements Opérationnels de la Police Sécurisés (CHEOPS), le portail permettant d’accéder aux fichiers de la police et de la gendarmerie.

L’article ne précise pas non plus combien de temps il a fallu pour disculper le policier soupçonné d’avoir abusivement farfouillé dans le TAJ, et identifier qu’il s’était fait dérober ses identifiant et mot de passe.

Il relève toutefois qu’alerté, le parquet de Paris a de son côté ouvert une enquête préliminaire le 4 décembre (soit 12 jours après le déclenchement de l’alerte), « date à laquelle le pirate, se sentant sans doute pisté, cesse d’arpenter CHEOPS ».

37 serveurs compromis, 14 fichiers visités, 120 fiches dérobées

D’après le dernier bilan du ministère de l’Intérieur, que le Canard a pu consulter, « les dégâts sont bien plus importants qu’annoncé : 37 serveurs de messagerie sur 250 ont été compromis, et 14 fichiers de police ont été visités, dont celui des personnes recherchées, qui contient notamment les fichés S » :

« Sur le TAJ, où il s’est bêtement fait repérer, Melvin L. a dérobé 120 fiches personnelles et procédé au siphonnage de dizaines de milliers de noms inscrits dans ce fichier sensible. »

• Piratage du ministère de l’Intérieur : les fichiers TAJ et FPR ont bien été consultés

Pour accéder à CHEOPS, il suffit d’un identifiant et d’un code à six chiffres

Le Canard souligne que le pirate, interpellé le 17 décembre, aurait profité du fait que « nombre de poulets se tamponnent le coquillard de la sécurité informatique ». Pour se connecter à CHEOPS, les policiers et gendarmes doivent normalement utiliser leur carte professionnelle, dotée d’une puce, ainsi qu’un code à quatre chiffres.

À ceci près que « les poulets, moins disciplinés que les pandores, utilisent à tort et à travers un système de secours sans carte, reposant sur le seul identifiant et un code à six chiffres ». Identifiant et code que le policier aurait partagé en clair dans un e-mail auquel le pirate avait pu accéder.

« Celui qui a fait le coup n’est pas spécialement un cador », précise au Canard un commissaire : « il a laissé plein de traces qui ont permis de remonter à lui ». À défaut de savoir combien d’autres pirates, plus discrets, auraient eux aussi déjà pu accéder à CHEOPS de la sorte, le ministre de l’Intérieur vient d’ouvrir une enquête administrative sur les manquements à la sécurité informatique.

Reste donc aussi à comprendre pourquoi, en 2025, le recours à la double authentification n’a pas encore été rendu obligatoire, surtout pour accéder à un système aussi sensible. Mais également, comme le souligne bohwaz en commentaire, « pourquoi ces systèmes et fichiers sont accessibles depuis n’importe quelle IP et ne sont pas restreints a un intranet sécurisé du ministère de l’intérieur… »

Une gardienne de la paix de 25 ans et son « petit ami » de 31 ans ont été arrêtés la semaine passée pour avoir vendu via Snapchat des informations émanant de fichiers policiers.

L’enquête aurait débuté en mai dernier, après que des enquêteurs de l’Office anti-cybercriminalité (OFAC) ont eu découvert une « story » Snapchat proposant d’acheter des accès à des fichiers policiers, rapportent BFMTV et Le Figaro.

• Le nouvel Office anti-cybercriminalité (OFAC) devrait doubler ses effectifs d’ici 2027

Les investigations téléphoniques ont permis de remonter à une policière « affectée à la garde bâtimentaire et donc pas en charge d’enquêtes », précise le parquet de Paris. Depuis début 2024, elle aurait néanmoins effectué 94 consultations frauduleuses du fichier du traitement des antécédents judiciaires (TAJ) et 169 du fichier des personnes recherchées (FPR).

• 12 ans que la CNIL dénonce le fichier TAJ des personnes « défavorablement connues »… en vain

Son compte bancaire a par ailleurs permis d’identifier des virements de 15 à 5 000 euros émanant des personnes concernées, pour un bénéfice estimé à 12 000 euros.

Son petit ami, « très défavorablement connu des services de police » (expression désignant généralement le fait d’avoir été plusieurs fois « mis en cause » – MEC – dans le TAJ), se chargeait de trouver des clients. Les tarifs allaient de 30 euros pour une consultation du système d’immatriculation des véhicules (SIV), 150 euros pour le FPR, jusqu’à 250 euros pour une levée d’immobilisation d’un véhicule.

• 24 millions et moi, et moi… : l’équivalent du tiers de la population est « défavorablement connue » de la police

Les suspects ont été placés sous contrôle judiciaire avec interdiction d’entrer en contact et de quitter le territoire, et interdiction d’exercer toute fonction publique pour la policière, d’ici leur procès prévu pour le 15 juin 2026.

Le Figaro souligne par ailleurs que les affaires relatives aux « atteintes à la probité » dans la police nationale ont « pratiquement doublé en cinq ans », passant de 137 à 234 entre 2020 et l’année dernière. Cette « démocratisation » de la consultation des fichiers policiers résulterait du fait qu’ils sont accessibles à un plus grand nombre de fonctionnaires, ainsi qu’à la numérisation des procédures.

Le dernier rapport de l’Inspection générale de la Police nationale (IGPN, la « police des polices »), révèle que 93 enquêtes ont été ouvertes en 2024 pour « violation du secret professionnel » (soit le même nombre qu’en 2023), et 75 autres pour « détournement de fichiers » (93 en 2023). Ces violations ont donné lieu à 24 enquêtes ouvertes pour « corruption active » et 42 pour corruption passive, soit le double qu’en 2023.

L’IGPN avait alors annoncé vouloir renforcer le contrôle d’accès aux fichiers policiers, précisant qu’un chef de projet et deux « data scientists » travaillaient au développement d’un algorithme capable de détecter les usages « anormaux ».

Crypto Bros

Plus de 1 800 « agents présumés » de la Corée du Nord ont cherché à être recrutés chez les sous-traitants d’Amazon en un an, en progression de 27 %. Les pirates informatiques nord-coréens ont en outre volé 2,02 milliards de dollars en cryptoactifs en 2025, soit 51 % de plus que l’an passé, pour un total de 6,75 milliards de dollars depuis 2016.

Amazon a « empêché plus de 1 800 agents présumés » de la République populaire démocratique de Corée du Nord (RPDC) de rejoindre leur entreprise depuis avril 2024, et « détecté 27 % de candidatures supplémentaires liées à la RPDC » en un an, indique Stephen Shmidt, le responsable sécurité (CSO) d’Amazon, sur LinkedIn.

La Corée du Nord cherche en effet depuis des années à obtenir des emplois en télétravail dans des entreprises d’informatique afin de reverser leurs salaires pour financer les programmes d’armement du régime, ou encore d’obtenir des accès privilégiés leur permettant d’insérer des malwares, d’exfiltrer des données et plus particulièrement de voler des cryptoactifs.

• La Corée du Nord, ses pirates d’élite et son cybercrime organisé

Stephen Shmidt précise qu’Amazon utilise des systèmes de détection combinant un filtrage basé sur l’IA et une vérification humaine, des vérifications des antécédents et références, à la recherche d’anomalies dans les candidatures et d’incohérences géographiques, et partage plusieurs des techniques, tactiques et procédures (TTP) des pirates nord-coréens :

• leurs usurpations d’identité sont devenues plus sophistiquées, ils piratent aussi désormais des comptes LinkedIn inactifs grâce à des identifiants compromis, voire soudoient des comptes actifs contre rémunération ;
• ils ciblent de plus en plus les postes liés à l’IA et à l’apprentissage automatique, « probablement parce que ceux-ci sont très demandés à mesure que les entreprises adoptent l’IA » ;
• ils travaillent souvent avec des facilitateurs qui gèrent des « fermes d’ordinateurs portables », notamment aux États-Unis, qui font croire aux employeurs qu’ils sont dans le même pays alors qu’ils opèrent à distance depuis l’étranger ;
• après avoir initialement prétendu être passés par des universités d’Asie de l’Est, ils tendent désormais à faire croire avoir été formés dans des établissements états-uniens.

« Ce sont les petits détails qui les trahissent. Par exemple, ces candidats indiquent souvent les numéros de téléphone américains avec « + 1 » au lieu de « 1 ». Pris isolément, cela ne signifie rien. Mais combiné à d’autres indicateurs, cela donne une image plus claire. »

Un décalage « à peine perceptible » de quelques dizaines de millisecondes

« Si nous n’avions pas cherché les travailleurs nord-coréens, nous ne les aurions pas trouvés », explique Stephen à Bloomberg, d’autant que ces vrais-faux employés ne sont pas recrutés directement par Amazon, mais par ses sous-traitants.

Amazon a surveillé la vitesse de transmission des frappes sur le clavier de l’ordinateur portable de l’un d’entre eux, censé se trouver aux États-Unis, qui « auraient dû mettre quelques dizaines de millisecondes pour atteindre le siège social d’Amazon à Seattle ». Or, le temps de transmission depuis cet ordinateur était « supérieur à 110 millisecondes », un décalage « à peine perceptible » mais suggérant que son utilisateur se trouvait à l’autre bout du monde, en Chine.

Un porte-parole d’Amazon a déclaré à Bloomberg News que les pirates nord-coréens passaient par des ordinateurs localisés aux États-Unis et administrés par une femme originaire d’Arizona. En juillet dernier, cette dernière a été condamnée à 8 ans et demi de prison pour les avoir aidés à travailler pour plus de 300 entreprises américaines, générant « plus de 17 millions de dollars de revenus illicites » pour la RPDC.

Des salaires pouvant aller jusqu’à 100 000 dollars par mois

Fin octobre, Chainalysis relevait que « ce qui n’était au départ qu’un simple programme d’emploi s’est transformé en une opération mondiale sophistiquée », mais également que « les informaticiens nord-coréens gagnent désormais entre 3 500 et 10 000 dollars par mois, les plus performants pouvant atteindre 100 000 dollars par mois » :

« Opérant principalement depuis la Chine et la Russie, ces travailleurs utilisent plusieurs fausses identités (parfois jusqu’à 12 par personne) et ciblent spécifiquement des entreprises dans des secteurs stratégiques tels que l’intelligence artificielle (IA), la blockchain et la défense. En outre, il semble que la Corée du Nord cible de plus en plus les entreprises en Allemagne, au Portugal et au Royaume-Uni. »

Un butin cumulé de 6,75 milliards de dollars de cryptoactifs

Un rapport de Chainalysis consacré aux vols de cryptoactifs en 2025 souligne de son côté que la Corée du Nord « continue de représenter la menace la plus importante pour la sécurité des cryptomonnaies, avec une année record en termes de fonds volés, malgré une réduction spectaculaire de la fréquence des attaques ».

En 2025, les attaques des pirates informatiques nord-coréens ont en effet représenté « un record de 76 % de toutes les compromissions de services » (contre 61 % en 2024), et permis de dérober « au moins 2,02 milliards de dollars » en cryptomonnaies, soit 681 millions (et 51 %) de plus qu’en 2024.

Chainalysis rappelle que le groupe nord-coréen Lazarus, responsable d’une majorité des attaques contre des cryptoactifs dans le monde, avait en effet réussi à dérober 1,5 milliard de dollars à la bourse d’échange Bybit en février 2025.

• 1,5 milliard de dollars : Bybit frappée par le plus gros vol de cryptoactifs jamais enregistré

Depuis 2016, ces braquages à répétition leur auraient permis de voler un montant cumulé de 6,75 milliards de dollars de cryptoactifs.

Chainalysis précise que les montants escroqués seraient les plus importants jamais enregistrés, notamment parce qu’ils parviennent à infiltrer des informaticiens dans des entreprises de cryptos, de l’IA et de la blockchain, « ou en utilisant des tactiques sophistiquées d’usurpation d’identité visant les cadres supérieurs ».

Les pirates nord-coréens chercheraient de plus en plus à infiltrer les entreprises liées aux cryptoactifs afin d’obtenir des accès privilégiés, et de maximiser les montants de leurs braquages, note Chainalysis : « une partie de cette année record reflète probablement une dépendance accrue à l’égard de l’infiltration d’informaticiens dans les bourses, les dépositaires et les entreprises web3, ce qui peut accélérer l’accès initial et les mouvements latéraux avant un vol à grande échelle ».

Des stratégies d’ingénierie sociale ciblant des cadres supérieurs

De plus, et non contents de simplement postuler à des postes afin d’être recrutés en tant qu’employés, « ils se font de plus en plus passer pour des recruteurs de grandes entreprises du web3 et de l’IA, orchestrant de faux processus de recrutement qui aboutissent à des « tests techniques » conçus pour récolter les identifiants, le code source et l’accès VPN ou SSO à l’employeur actuel de la victime ».

• Une arnaque au recrutement cible les développeurs amateurs de crypto

Chainalysis évoque également une stratégie similaire d’ingénierie sociale ciblant des cadres supérieurs, et prenant la forme de « fausses prises de contact de la part de prétendus investisseurs ou acquéreurs stratégiques », qui profitent de réunions de présentation et de pseudo-vérifications préalables pour « obtenir des informations sensibles sur les systèmes et des voies d’accès potentielles à des infrastructures de grande valeur ».

À l’instar de ce que Chainalysis avait déjà constaté ces dernières années, « la Corée du Nord continue de mener des attaques d’une valeur nettement supérieure à celles des autres acteurs malveillants ». Entre 2022 et 2025, les piratages qui lui ont été attribués « occupent les fourchettes de valeur les plus élevées, tandis que les piratages non attribués à la Corée du Nord présentent des distributions plus normales pour toutes les tailles de vols », comme le montre le graphique qui suit : « Cette tendance confirme que lorsque les pirates nord-coréens frappent, ils ciblent les grands services et visent un impact maximal ».

« La capacité de cet État-nation à mener des attaques moins nombreuses mais beaucoup plus destructrices témoigne d’une sophistication et d’une patience croissantes », conclut Chainalysis.