La déception cyber fonctionne mieux sur les attaquants IA que sur les humains
Une étude de juin 2026 a confronté 21 modèles attaquants à des pièges de déception classiques : tous mordent à l'hameçon plus souvent que les humains — et continuent même après avoir identifié le piège.
De quoi s’agit-il ?
Le 19 juin 2026, des chercheurs ont publié Honeyquest for LLMs: Rethinking Cyber Deception for AI Attackers, une étude empirique posant une question simple mais attendue : la déception cyber — ces honeytokens, leurres et pièges que les défenseurs sèment pour attraper les intrus — fonctionne-t-elle de la même façon contre des attaquants pilotés par IA que contre des humains ?
Toute la pratique de la déception cyber repose sur des hypothèses centrées sur l’humain : ce qui paraît tentant, ce qui paraît suspect, et comment détourner l’attention d’un intrus. À mesure que les agents d’attaque autonomes fondés sur des LLM passent de la démonstration à l’opération réelle, aucune de ces hypothèses n’est garantie de tenir. L’étude adapte l’instrument Honeyquest d’origine (présenté à RAID 2024) en un cadre automatisé et mesure, à grande échelle, comment des « attaquants » LLM jugent des éléments de reconnaissance dans lesquels ont été semés des pièges. Le résultat marquant : les attaquants IA constituent une classe à part, et ils sont nettement plus faciles à tromper que les humains.
Comment ça marche
Honeyquest présente à un attaquant des artefacts de reconnaissance réalistes — extraits de configuration, chaînes ressemblant à des identifiants, détails réseau — dont certains sont bénins et d’autres des pièges délibérément attractifs, comme un honeytoken que seul un intrus aurait une raison d’exploiter. L’instrument note quelles lignes l’attaquant « marque » comme dignes d’intérêt, transformant le jugement de l’attaquant en signal mesurable. Il s’agit d’une mesure défensive, pas d’un exploit : les pièges sont des leurres et ce qui est évalué est le jugement, pas la capacité offensive.
L’adaptation LLM a fait tourner une cohorte de 21 modèles couvrant 10 fournisseurs, à poids ouverts comme fermés, d’environ 8 milliards à plus de 1 000 milliards de paramètres. Elle a produit 10 962 réponses sur 174 requêtes de reconnaissance, comparées à une base de référence de 47 participants humains sur le même jeu de tâches.
Trois constats ressortent. Premièrement, tous les modèles de la cohorte tombent dans les pièges à un taux nettement supérieur à celui des humains. Deuxièmement, un effet défensif bien documenté chez l’humain — la diversion de l’attention, où un leurre bien placé éloigne l’attaquant des actifs réels — est statistiquement absent dans la cohorte LLM. Troisièmement, et c’est le plus frappant, les auteurs documentent un écart entre reconnaissance et action : les modèles écrivent fréquemment, dans leurs propres traces de raisonnement, qu’une ligne ressemble à un piège, puis agissent dessus malgré tout 73,4 % du temps. Le fait qu’un modèle nomme le piège dans son raisonnement ne prédit pas s’il l’évite (Spearman r = +0,08, p = 0,73) — dire « c’est un appât » et mordre à l’appât sont essentiellement décorrélés.
Pourquoi c’est important
Pour les défenseurs, l’implication contre-intuitive est encourageante : les techniques de déception que vous connaissez déjà sont particulièrement efficaces contre les attaquants machines. Un honeytoken qu’un pentester humain chevronné contournerait est un leurre qu’un agent autonome ira probablement saisir — et il le saisira même quand sa propre chaîne de raisonnement signale le risque. À mesure que les agents offensifs augmentent le volume de reconnaissance qu’ils effectuent, des pièges peu coûteux deviennent une couche de détection à fort signal, précisément contre les attaquants les plus difficiles à limiter en débit.
Ces résultats portent aussi un avertissement. Si la diversion d’attention ne fonctionne pas sur les machines, et si la reconnaissance verbalisée ne se traduit pas par l’évitement, alors une déception réglée pour tromper des humains peut laisser des angles morts — ou gaspiller des efforts sur des ruses qui ne marchaient que grâce à des biais cognitifs humains que le modèle ne partage pas. Une déception calibrée pour des red teams humaines ne doit pas être supposée transférable telle quelle, et la vulnérabilité variait fortement d’un modèle à l’autre : le modèle d’attaquant que vous affrontez compte.
Défenses
Placez des honeytokens et des actifs-leurres sur les chemins qu’un agent autonome parcourrait réellement — dépôts, fichiers de configuration, variables d’environnement, magasins d’identifiants — et alertez à la moindre interaction. Le message pratique central de l’étude est que ces fils-pièges se déclenchent plus fiablement contre les attaquants IA que contre les humains : c’est l’un des contrôles les moins coûteux et les plus rentables face aux menaces agentiques. Des travaux connexes sur la détection d’agents par honeytokens montrent comment intégrer la même idée dans les agents outillés que vous opérez.
Ne comptez pas sur le fait que « le modèle remarquera ». Puisque la reconnaissance ne prédit pas l’évitement, un modèle qui raisonne « ça ressemble à un pot de miel » n’est ni un attaquant sûr, ni la preuve que votre déception a échoué. Instrumentez l’action — l’accès, la lecture, la tentative d’exfiltration — pas l’intention déclarée de l’attaquant.
Traitez la défense active native pour l’IA comme un problème de conception à part entière, et non comme un simple habillage de la déception centrée humain. Remesurez les taux de mordant contre les modèles d’agents que vous prévoyez d’affronter, retirez les ruses qui dépendent de biais humains, et conservez les leurres que les machines saisissent fiablement. Enfin, associez la déception au moindre privilège et à des contrôles de provenance (voir la taxonomie des pièges pour agents de DeepMind) pour qu’un piège déclenché contienne le rayon d’impact au lieu de seulement le journaliser.
Statut
| Élément | Détail |
|---|---|
| Source | Honeyquest for LLMs: Rethinking Cyber Deception for AI Attackers, arXiv:2606.21037, soumis le 19 juin 2026 |
| Méthode | Cohorte de 21 LLM, 10 fournisseurs, 8 Md–1 000 Md+ de paramètres ; 10 962 réponses sur 174 requêtes contre 47 participants humains |
| Chiffre clé | Écart reconnaissance-action : pièges exploités 73,4 % du temps malgré leur identification ; reconnaissance décorrélée de l’évitement (r = +0,08, p = 0,73) |
| Nature | Résultat de recherche, défensif ; aucun exploit reproduit |
| Instrument | Honeyquest, à l’origine arXiv:2408.10796 (RAID 2024) |