Comment déjouer les attaques phishing boostées par l'IA ?

La cybersécurité est une course à l'armement permanente, avec des adversaires développant sans relâche de nouvelles techniques pour améliorer l'efficacité de leurs attaques.

Les cybercriminels ont désormais recours à l’IA (intelligence artificielle) pour élaborer des campagnes de phishing, notamment pour rédiger des emails convaincants afin de s’introduire discrètement dans un réseau et d’y voler des données sensibles.

Le phishing demeure le vecteur d’attaque le plus courant : cette méthode est ainsi utilisée dans 74% des cyberattaques selon le CESIN. Mais, selon nos recherches, 59 % des entreprises dispensent régulièrement des formations sur la cybersécurité. Les utilisateurs sont donc moins vulnérables qu’auparavant aux techniques de phishing basiques, notamment face à des emails truffés d’erreurs d’orthographe, ou qui exigent une contrepartie financière démesurée. Face à l’amélioration des stratégies de défense des entreprises, les campagnes malveillantes gagnent en sophistication : les cybercriminels recourent à l’IA pour créer des attaques finement ciblées et personnalisées, que les utilisateurs ont davantage de difficultés à identifier comme du phishing. Ces derniers sont alors plus susceptibles de cliquer sur un lien malveillant ou d’ouvrir une pièce jointe infectée, ce qui permet au cybercriminel de s’introduire dans le réseau de l’entreprise.

L’IA perfectionne des attaques par phishing

Les agents conversationnels avancés, tels que ChatGPT, sont utilisés dans une variété de tâches grandissante et si la version gratuite de ChatGPT a un potentiel considérable, la version payante dispose de fonctionnalités encore plus prometteuses. Les hackers peuvent tirer parti de ces outils assistés par l’IA de diverses manières, dont voici quelques exemples :

  •  Créer du code malveillant : si des cybercriminels demandent explicitement à ChatGPT d’écrire du code malveillant en vue de réaliser une attaque par phishing, ce dernier refuse. Ils peuvent néanmoins se servir de l’outil pour produire plusieurs morceaux de code à regrouper ensuite. Par conséquent, les hackers n’ont plus besoin d’une expérience significative en programmation pour façonner des campagnes de phishing malveillantes et redoutables : quelques compétences basiques de hacking suffisent.

 Ils peuvent par exemple créer un script malveillant qu’ils insèrent dans le code HTTP ou PHP d’un site internet vulnérable. Lorsqu’un utilisateur naviguera sur cette page web, le script pourra installer un malware directement sur son ordinateur, ou rediriger cette personne vers un site factice créé par des hackers. Ces téléchargements furtifs peuvent également survenir lors de l’affichage d’un email ou d’une fenêtre pop-up. Il est utile de souligner que le système peut être infecté sans même que l’internaute n’ait appuyé sur un bouton de téléchargement ni ouvert une pièce-jointe malveillante.

  •  Rédiger des messages ciblés : comme ChatGPT v.4 accède désormais à internet sans restriction, il peut rapidement communiquer des informations personnelles détaillées sur les victimes ; leurs centres d’intérêts et le nom de leurs proches, par exemple. Longtemps, les hackers ont glané ces informations manuellement sur les réseaux sociaux dans le dessein de mieux cibler leurs emails de phishing – avec les outils d’IA, cette tâche n’a jamais été aussi aisée. Aujourd’hui, ces messages ne sont plus seulement envoyés par email, mais également par SMS, une technique appelée smishing.
  •  Générer des deepfakes : le phishing ne se limite pas à la communication écrite puisque le vishing, par exemple, repose sur des appels vocaux. L’hacker prend l’identité d’une personne connue de la victime, son banquier ou un membre de son service support informatique par exemple, pour la pousser à révéler des informations sensibles, voire à céder le contrôle de sa machine. L’IA perfectionne grandement ces types de campagnes, car la technologie est à même de produire – à partir d’un document de base - un enregistrement factice mais convaincant dans lequel le cybercriminel lui fait dire ce qu’il veut. Il peut par exemple réutiliser des extraits audios de présentations d’un dirigeant d’entreprise en conférence pour produire un enregistrement factice, qui sera envoyé à un salarié de l’entreprise et l’exhortera à transférer immédiatement des fonds vers un compte contrôlé par le hacker.

Déjouer les attaques par phishing, qui ne cessent d’évoluer

La ligne de défense la plus efficace contre les diverses campagnes de phishing reste inchangée : la couche de sécurité clé demeure l’utilisateur. Il est donc indispensable de former les employés aux bonnes pratiques de cybersécurité, à la détection d’activités malveillantes et à rester sur leurs gardes. Il est primordial en particulier qu’ils remettent toujours en question un appel qui les presserait à passer à l’action, qu’ils vérifient systématiquement la légitimité de leurs interlocuteurs, et confirment de telles demandes au moyen d’une tierce méthode de communication. Par ailleurs, les employés doivent veiller à supprimer régulièrement de leurs appareils toutes les apps et plug-ins qui sont obsolètes, ou dont ils ne se servent pas. Le nombre de vulnérabilités exploitables augmente en effet avec le nombre de logiciels hébergés sur une machine. Cependant, une défense efficace contre le phishing ne saurait se résumer exclusivement aux utilisateurs. L’équipe informatique doit aussi pouvoir surveiller en temps réel les activités sur les systèmes à l’aide d’outils d’analyse comportementale, capables de détecter les actions suspicieuses, et de déclencher une réponse rapide afin d’éviter un préjudice important.

La cybercriminalité s’est professionnalisée. Et, à l’instar d’autres chefs d’entreprise, les cybercriminels sont à l’affût de ce qui leur permettra de maximiser leur profit aussi vite que possible, tout en minimisant leurs efforts. Par conséquent, plus compromettre environnement informatique est rendu difficile, plus ils se tourneront vers une cible plus vulnérable. Or, être capable de contenir des campagnes de phishing boostées par l’IA est désormais une composante déterminante de la stratégie de défense. En outre, le déploiement de mesures de sécurité efficaces – qui permettront de détecter les menaces en cours, d’y répondre à temps et d’en minimiser l’impact sur l’organisation – est essentiel.