Cybercriminalité : comment l'IA générative transforme l'ingénierie sociale
L'IA générative permet aux cybercriminels de mener des attaques plus sophistiquées et convaincantes pour tromper leurs victimes. La sensibilisation et l'éducation sont cruciales pour se protéger.
L'intelligence artificielle, à l'instar de toute avancée technologique majeure, porte en elle la promesse d'un progrès fulgurant, mais aussi la menace d'une utilisation malveillante. Loin d'y échapper, l'IA, et plus particulièrement l'IA générative, est devenue un outil de choix pour les cybercriminels, toujours en quête de nouvelles armes pour tromper et manipuler leurs victimes.
Capable de créer des contenus plus vrais que nature en texte, audio ou même vidéo, l'IA générative repousse les frontières de l'ingénierie sociale, au-delà des canaux traditionnels comme l'email. Des réseaux sociaux aux SMS, en passant par les appels téléphoniques, aucun canal de communication n'est à l'abri de ces attaques sophistiquées. D’ailleurs, selon l’étude Voice of the CISO 2024, 64 % des RSSI français estiment que l’IA générative présente un risque de sécurité accru pour leur organisation
Des conversations crédibles
L'art de la conversation, autrefois un domaine réservé à l'humain, est désormais à la portée des cybercriminels grâce à l'IA générative. Ces derniers exploitent la puissance des modèles de traitement du langage pour tisser des liens virtuels trompeurs avec leurs victimes, engageant des conversations d'une crédibilité troublante. Ils prennent soin de cultiver patiemment un climat de confiance, alimentant parfois ces échanges virtuels durant des semaines, voire des mois. L'objectif final ? Inciter les victimes à baisser la garde et à accomplir des actions aux conséquences potentiellement désastreuses : envoyer de l'argent, investir dans une plateforme frauduleuse, partager des informations confidentielles... Nourris par les données glanées sur les réseaux sociaux, les messageries instantanées et autres fuites de données, ces modèles d'IA produisent des réponses d'un réalisme saisissant, brouillant ainsi la frontière entre échanges authentiques et manipulations orchestrées sur des plateformes comme Instagram, WhatsApp ou Tinder.
Des deepfakes ultra-réalistes
L'IA générative offre également aux cybercriminels la possibilité de créer des "deepfakes" d'un réalisme troublant. En utilisant des algorithmes d'apprentissage automatique, ils conçoivent des vidéos truquées où l'apparence, la voix et les gestes de n'importe quelle personne peuvent être imités à la perfection. Pour ce faire, ils alimentent leurs modèles d'IA, notamment les réseaux antagonistes génératifs (GAN), avec des images, des vidéos et des enregistrements audios collectés sur internet. Le résultat ? Des vidéos falsifiées d'une qualité telle qu'il devient difficile de distinguer le vrai du faux. Ces deepfakes ouvrent la voie à de nouvelles formes d'usurpation d'identité, permettant par exemple d'imiter la voix d'un proche pour soutirer de l'argent ou des informations sensibles à des victimes peu méfiantes.
Attaques BEC (Business Email Compromise) personnalisées
L'IA générative se révèle être un outil puissant pour contourner les barrières linguistiques et culturelles, facilitant ainsi les attaques BEC (Business Email Compromise) – également appelées arnaques au président - à l'échelle internationale. Jusqu'à présent, les cybercriminels ciblaient en priorité les pays anglophones. Aujourd'hui, grâce à l'IA, ils peuvent aisément adapter leurs messages frauduleux à d'autres langues et cultures, étendant ainsi leur champ d'action à des pays comme le Japon, la Corée ou les Émirats arabes unis. Rappelons que les attaques BEC reposent sur l'usurpation d'identité : les pirates se font passer pour des responsables d'entreprise afin d'inciter les employés à effectuer des virements ou à divulguer des informations confidentielles. L'IA leur permet de créer des messages personnalisés très convaincants dans de nombreuses langues, imitant à la perfection le style et le ton de la personne qu'ils usurpent. L'utilisation de deepfakes, qu'il s'agisse de messages vocaux ou de vidéos, vient encore renforcer la crédibilité de ces escroqueries.
Faux profils et publications automatisées
L'IA générative s'avère également être un outil redoutable pour manipuler l'opinion publique sur les réseaux sociaux. Les cybercriminels peuvent créer de toutes pièces de faux profils et automatiser la production massive de publications et d'interactions. Ces modèles d'IA sophistiqués sont capables d'imiter le style et le ton de sources fiables, de traduire des contenus dans différentes langues et même de gérer des tâches répétitives comme répondre aux messages. L'objectif de ces faux profils est de se fondre dans la masse des utilisateurs, d'entrer en contact avec des cibles potentielles en partageant leurs centres d'intérêt et de gagner leur confiance. Une fois cette confiance établie, les cybercriminels peuvent diffuser de fausses informations à grande échelle et tenter d'influencer les conversations en ligne. Facebook, Instagram, forums de discussion... Aucune plateforme n'est à l'abri de ces campagnes de manipulation automatisées.
L'IA générative a ouvert la boîte de Pandore des cybermenaces. En exploitant le pouvoir de cette technologie, les cybercriminels peuvent désormais duper leurs victimes avec une facilité déconcertante, se fondant dans le paysage numérique à l'aide de faux profils, de messages personnalisés et de vidéos truquées plus vraies que nature.
Face à ces dangers, la sensibilisation et l'éducation aux risques liés à l'IA générative sont primordiales. Selon le rapport State of the Phish 2024, seules 25 % des organisations françaises forment actuellement leurs utilisateurs à la sécurité de l’IA générative, alors qu’il est crucial d'adopter un regard critique sur les informations qui nous sont présentées en ligne, de se tenir informé des dernières techniques de manipulation et de connaître les mesures de protection à mettre en place. Des formations ciblées, notamment pour les personnes en charge de données sensibles ou de transactions financières, sont indispensables pour endiguer la vague de cybercriminalité alimentée par l'IA.