Phishing et IA : pourquoi les cyberattaques sont devenues indétectables

Selon une récente étude de Kaspersky, le nombre de cyberattaques subies par les organisations au cours des douze derniers mois aurait augmenté de près de la moitié. La menace la plus répandue provient des attaques de phishing, avec 49% des personnes interrogées ayant signalé ce type d'incident. L'IA devenant un outil de plus en plus utilisé par les cybercriminels, la moitié des personnes interrogées s'attend à une augmentation significative du nombre d'attaques par hameçonnage, alerte l'étude.

"Jusqu'à présent, les attaques de phishing reposaient sur l'envoi d'un message générique à des milliers de personnes, dans l'espoir que l'un des destinataires morde à l'hameçon. L'IA a changé la donne en proposant des courriels d'hameçonnage très personnalisés et transmis à un grand nombre de destinataires. À l'aide d'informations publiques disponibles sur les réseaux sociaux, les sites d'offres d'emploi ou encore les sites web des entreprises, ces outils alimentés par IA peuvent générer des courriels adaptés au rôle, aux intérêts et au style d'une personne. Par exemple, un directeur financier peut recevoir un courriel frauduleux qui reflète le ton et le formatage des messages de son PDG, y compris des références précises aux événements récents de l'entreprise. Ce niveau de personnalisation rend exceptionnellement difficile pour les employés de distinguer les communications légitimes des communications malveillantes", explique Kaspersky.

L'IA a également incorporé les "deepfakes" à l'arsenal du phishing. "Les cybercriminels s'en servent de plus en plus pour créer de faux messages audio et vidéo très réalistes, conçus pour reproduire la voix et l'apparence des dirigeants dont ils cherchent à usurper l'identité", lit-on encore dans l'étude.

Le phishing se crédibilise grâce à l'IA 

"La qualité des données, la complexité des systèmes et aussi l'usage de l'IA par les cybercriminels posent effectivement problème. L'enjeu aujourd'hui est d'anticiper les menaces et d'avoir une longueur d'avance sur ces hackers ou ces cybercriminels pour ne pas être dépassés", reconnait Raja Bensaoud, juriste spécialiste en droit des affaires et droit numérique.

"Le phishing fait partie des infractions pénales d'une certaine gravité qui ont émergé avec le numérique sur les 20 ou 25 dernières années, comme l'accès illégitime ou l'intrusion dans les systèmes d'information (SI), les attaques par déni de service ou la défiguration de sites web d'entreprises ou d'administrations", nous explique-t-elle.

"Le phishing est une sorte d'escroquerie qui a pour objectif de tromper des personnes dans le but de leur soustraire soit de l'argent, soit des données personnelles ou des données confidentielles. Des personnes malveillantes ou des escrocs vont ainsi se faire passer pour un organisme de confiance qui peut être votre membre, un réseau social, votre opérateur téléphonique ou même une administration. Ces fraudeurs vous enverront de faux e-mails, de faux SMS, parfois même un message vocal qui est en fait faux. À travers cela, ils vous demanderont soit de vérifier un paiement, soit de mettre à jour ou d'actualiser des données, ou de cliquer sur un lien", vulgarise l'enseignante-chercheure en droit du numérique et de l'IA.

L'intelligence artificielle facilite d'une manière générale la cybercriminalité, car elle offre des outils très accessibles, bon marché, faciles à utiliser et avec une grande efficacité.

"Avec l'IA, le phishing devient de plus en plus crédible, ce qui le rend encore plus dangereux. L'intelligence artificielle facilite d'une manière générale la cybercriminalité, car elle offre des outils très accessibles, bon marché, faciles à utiliser et avec une grande efficacité, ce qui rend la cybercriminalité plus dense et plus facile".

"Je cite l'exemple du site frauduleux collectant des informations sensibles liées à l'aide sociale directe, signalé récemment par la DGSSI. C'est une illustration de l'arnaque facilitée par l'IA".

Grâce à l'intelligence artificielle, les cybercriminels ou les hackers peuvent créer des copies parfaites de sites ou de plateformes officielles. "Les technologies d'IA, notamment les grands modèles de langage (LLM), permettent aujourd'hui de créer des messages de phishing très personnalisés et très convaincants qui ressemblent à des messages authentiques. Faire la différence entre un message faux et un message authentique devient alors de plus en plus difficile".

Le coût pour un cybercriminel devient en outre quasi nul

"Grâce à ces IA, les fraudeurs ont à leur disposition des algorithmes qui sont capables d'aller chercher et fouiner dans des tonnes de données disponibles en ligne, pour imiter d'une manière quasi parfaite un style d'écriture, une voix ou une vidéo. Avant, les phishing étaient facilement détectables, parce qu'il y avait toujours des erreurs de frappe et un style bâclé. Aujourd'hui, avec l'IA, les cybercriminels ont dépassé ces problèmes-là, et ils arrivent à envoyer des messages presque authentiques, et qui imitent à la lettre la manière dont une personne ou une entreprise communique".

Le coût pour un cybercriminel devient en outre quasi nul, poursuit notre source. "L'automatisation du processus de phishing grâce au LLM a en effet permis de réduire les coûts de phishing à hauteur de 95%, selon une étude américaine".

Comment s'en protéger?

Les approches et les recommandations traditionnelles en matière de cybersécurité restent valables même avec des campagnes pilotées par de l'IA, note Raja Bensaoud.

"Il faut par exemple toujours vérifier l'URL d'un site pour repérer des erreurs et privilégier les connexions sécurisées. Quand vous avez une adresse ou un lien HTTP où il n'y a pas le S, c'est aussi un signal d'alerte, sans oublier les e-mails qui contiennent des pièces jointes ou des liens. Il ne faut pas cliquer dessus si nous ne sommes pas sûrs qu'ils proviennent d'une source sûre".

L'IA peut être par ailleurs utilisée comme un atout en matière de cybersécurité contre les arnaques ou les infractions comme le phishing, même si elles sont élaborées grâce à des outils d'intelligence artificielle, puisque l'IA a une capacité d'analyse et d'anticipation, suggère en outre notre interlocutrice.

"Si vous repérez un mail suspect, vous pouvez utiliser Chat GPT ou autre LLM pour faire un prompt (commande numérique) professionnel pour demander son avis vis-à-vis de l'authenticité du mail en question. L'IA peut aujourd'hui, grâce à des signaux très précis, vous donner une réponse quasiment fiable".