Le hameçonnage à l’heure de l’intelligence artificielle

Le hameçonnage à l’heure de l’intelligence artificielle

Blocage supposé du compte bancaire ou gain de plusieurs millions: les e-mails de hameçonnage restent hélas d’actualité. Avec la diffusion de générateurs de textes issus de l’intelligence artificielle, quelques-uns des indices permettant de détecter un e-mail de phishing disparaissent. Dans notre mise à jour sur le thème du hameçonnage, nous vous révélons comment il est quand même possible de se protéger contre les tentatives d’escroquerie.

Martin Schlatter Martin Schlatter · Abuse Desk Specialist

Il ne fait aucun doute que l’apprentissage machine, les grands modèles de langage (LLM) et l’intelligence artificielle générative (IA Gen) sont en train de modifier les domaines les plus divers de notre monde. Ces nouvelles technologies sont à l’origine d’une avancée insoupçonnée de notre productivité, puisqu’avec seulement quelques commandes, elles créent des textes et des images qui nécessitaient beaucoup de plus travail auparavant. Les tâches rudimentaires seront notamment entièrement prises en charge par de l’intelligence artificielle dans un avenir proche.

Hélas, ces programmes révolutionnaires peuvent également être utilisés abusivement à des fins d’escroquerie. Dans un article précédent, nous avons déjà évoqué les risques d’attaque par hameçonnage (également connu sous le terme «phishing») et les meilleures pratiques de défense. Entre-temps, la situation a évolué avec l’ouverture de modèles de langage comme ChatGPT, puisqu’il est désormais possible de faire rédiger très simplement des textes parfaitement formulés, donc fiables.

Des études de spécialistes de la sécurité tels que, p. ex., l’entreprise SlashNext, spécialisée dans le hameçonnage, montrent que le nombre d’e-mails de phishing a augmenté de 1265% depuis le lancement de ChatGPT. À cette occasion, nous portons à nouveau notre regard sur les meilleures pratiques contre le hameçonnage et montrons ce qui a changé avec l’arrivée de l’IA générative.

Les 5 méthodes de hameçonnage les plus fréquentes

L’envoi d’e-mails (commerciaux) fait partie des méthodes les plus connues. Un escroc se fait passer pour une organisation légitime comme Facebook ou pour un haut responsable au sein d’une entreprise.

Mais la créativité des cybercriminels va bien au-delà de l’envoi d’e-mails à des destinataires aléatoires, comme le montre la liste ci-dessous d’autres méthodes de hameçonnage fréquentes.

Méthode Description
Phishing (hameçonnage) Envoi massif d’e-mails qui prétendent provenir d’organisations légitimes ou de supérieurs hiérarchiques.
Spear phishing Attaques personnalisées qui utilisent des informations spécifiques sur la cible.
Whaling (CEO Fraud) Attaques ciblant spécifiquement des hauts responsables comme des CEO, des CFO et des COO en utilisant leurs informations publiques.
Smishing (hameçonnage par SMS) SMS d’escroquerie invitant à partager des informations sensibles.
Vishing (hameçonnage vocal) Appels de personnes qui se font passer pour une institution ou une personne dirigeante de confiance pour demander des données personnelles ou donner des instructions.

Les criminels essaient d’accéder à des données d’accès et à des mots de passe non seulement en envoyant des e-mails en masse, mais également de manière très ciblée par SMS et par téléphone.


Étant donné que le hameçonnage n’est pas un phénomène nouveau, il existe heureusement des pratiques permettant de le repousser qui devraient entre-temps être connues de nombreux utilisateurs d’Internet. Mais peuvent-elles aujourd’hui encore résister à l’apparition d’une intelligence artificielle générative?

Intelligence artificielle et hameçonnage: qu’est-ce qui a changé?

Différentes formes d’e-mails de phishing sont en circulation. Alors que des technologies avancées comme l’intelligence artificielle sont de plus en plus utilisées pour rédiger des e-mails de hameçonnage, on trouve encore de nombreux mails de hameçonnage «classiques» qui contiennent souvent des indices typiques comme, par exemple, des fautes d’orthographe et de grammaire. La forte augmentation du nombre d’e-mails de phishing envoyés laisse cependant déjà entrevoir quelles conséquences les grands modèles de langage ont sur leur fréquence.

Dans le phishing par e-mail classique, des textes convaincants peuvent être rédigés automatiquement et beaucoup plus rapidement que par un être humain. Dans un même temps, de par l’absence de fautes d’orthographe révélatrices, un e-mail de phishing est de meilleure qualité, donc plus crédible. Dans le futur, des avertissements sous la forme de fautes de frappe, de changements de langue et de formulations non usuelles ne pourront donc plus être un indice clair d’e-mail suspect.

L’utilisation de programmes deepfake soulèvera à l’avenir de plus en plus la question de l’identification de la personne se trouve vraiment devant la webcam. (Source: Artur Skoniecki / pixabay.com)


Les tentatives d’escroquerie par spear phishing ou par whaling deviennent d’autant plus perfides, puisqu’une intelligence artificielle et un apprentissage machine doivent imiter le style d’écriture et les formulations typiques d’une personne. L’IA pourrait apprendre les caractéristiques de langage d’une personne grâce à des textes publics, puis les reproduire. Si elle y arrive, le style d’écriture d’un supérieur hiérarchique ou d’un membre de la famille sera imité pour prendre contact avec un haut responsable, un employé ou une personne de confiance.

Imiter une personnalité est possible non seulement par écrit, mais également, si on dispose de suffisamment de matériel d’apprentissage sous forme d’enregistrement audio ou d’images vidéo. Cette méthode est connue sous le nom de deepfake: des voix et des visages sont copiés de manière très convaincante par une IA et mis sur d’autres personnes.

Il y a très peu de temps, une attaque réussie a eu lieu sur une entreprise à Hong Kong. Un collaborateur a reçu un e-mail où il lui était demandé d’effectuer différents paiements.

La méfiance initiale du collaborateur a été dissipée peu après lors d’une réunion vidéo avec le supérieur hiérarchique, imité par deepfake. Lors d’une attaque aussi complexe, il est très difficile pour la victime de voir qu’il y escroquerie. Heureusement, ce scénario est une exception rare, qui cible plutôt des objectifs isolés et nécessite beaucoup plus d’énergie criminelle.

Meilleures pratiques actuelles contre les attaques de hameçonnage

Alors que faire si toute communication numérique peut être manipulée à s’y méprendre?

La plupart des meilleures pratiques pour se défendre contre le phishing classique restent actuelles et aident activement à éviter des dommages. Sur notre page d’informations sur le phishing, vous trouverez des conseils utiles et des exemples des mails de hameçonnage les plus fréquents qui se font passer pour des mails envoyés par Hostpoint AG.

Pour prévenir des attaques, les points suivants sont plus importants que jamais, notamment dans un environnement d’entreprise:

  1. Règles de base
    Lorsque vous recevez des e-mails suspects, ne cliquez sur aucun lien, ne téléchargez pas de pièces jointes et ne répondez jamais à ces mails. Des entreprises sérieuses ne vous demanderont jamais votre mot de passe. Si c’est le cas, il s’agit très probablement d’une tentative d’escroquerie.

  2. Vigilance
    Ne cédez pas à la pression, ni du temps ni de quelqu’un qui prétend être votre supérieur hiérarchique. Si vous avez une intuition qui vous fait douter, tenez-en compte. Passez à l’action et demandez brièvement de vive voix à l’expéditeur si le contenu du message est véridique. Cela vous permettra de vous couvrir en cas de doute.

  3. Processus résilients
    Dès aujourd’hui, mettez en place dans votre entreprise ou votre service des processus qui pourront servir d’orientation à toutes les parties prenantes. Veillez à ce que les authentifications multifacteurs soient activées et à ce que les responsables se voient attribuer uniquement les droits dont ils ont vraiment besoin. Une rupture évidente de procédures définies peut être un premier avertissement de tentative d’escroquerie.

  4. Communication
    N’informez pas uniquement les collaborateurs et les collègues, mais également la famille et les amis des dangers. Pour les cas d’urgence, convenez d’un mot de passe que seules des personnes initiées connaissent. Ainsi, en cas de tentative d’escroquerie essentiellement basée sur le plan émotionnel (problèmes d’argent, accident), les escrocs auront moins de chance de réussir même avec une voix très ressemblante.

Vous avez reçu un mail de hameçonnage?
Si vous voyez un e-mail suspect faisant référence à Hostpoint, informez-vous sur notre page d’informations sur le phishing créée spécialement pour ça et informez-nous de votre soupçon à l’adresse e-mail phishing-aviser@hostpoint.ch.

J’ai été victime d’un hameçonnage – que faire?

Si le piège du hameçonnage s’est refermé sur vous, que ce soit dans le contexte professionnel ou privé, vous devez réagir immédiatement.

Dans une entreprise, les collaborateurs et collaboratrices n’osent souvent pas signaler immédiatement ou à temps des cas d’escroquerie par peur de conséquences (personnelles) ou par honte. Un temps précieux est perdu, car de ce fait les mesures nécessaires ne peuvent pas être prises aussitôt.

Plus les responsables informatiques sont informés tôt, mieux c’est. Ils peuvent évaluer la situation et réagir en conséquence. Cela permet de protéger tous les domaines et d’empêcher de plus gros dommages.

Pour que les conditions préalables nécessaires soient réunies dans les entreprises, il est donc extrêmement important de vivre une culture de l’erreur positive et de motiver activement les collaborateurs et collaboratrices pour qu’ils ou elles n’aient pas peur de signaler de tels cas.

Michael Naef · Head of System Engineering & Operations chez Hostpoint «Une communication ouverte et basée sur la confiance est un des piliers essentiels de la sécurité informatique. En cas d’incident, les mesures possibles et leur succès dépendent fortement de la rapidité et de la franchise avec lesquelles les experts du service informatique sont informés et impliqués.»

Il est très important de savoir que même les personnes les mieux formées peuvent se faire avoir par une attaque de phishing. Vu les méthodes d’escroquerie sophistiquées et de plus en plus complexes techniquement, être victime d’une escroquerie n’est pas une honte.

L’intelligence artificielle également comme alliée

Même si les développements révolutionnaires dans des domaines comme l’apprentissage machine peuvent être utilisés abusivement à des fins d’escroquerie, cela ne les rend pas mauvais en soi. Bien au contraire: ces technologies offrent également des possibilités considérables dans la lutte contre la cybercriminalité. L’intelligence artificielle est notamment déjà utilisée depuis des années pour détecter précocement des attaques malveillantes et les repousser, et elle jouera un rôle encore plus important à mesure que sa précision et son efficacité augmenteront.

Chez Hostpoint également, les collaborateurs sont régulièrement sensibilisés et formés aux risques en matière de sécurité. De plus, nous investissons continuellement dans des mesures de sécurité supplémentaires pour notre infrastructure.

Vous trouverez également d’autres sources utiles sur les risques du hameçonnage auprès de l’Office fédéral de la cybersécurité (OFCS), de la Prévention Suisse de la Criminalité ainsi que de l’Internet Security Alliance (iBarry). Ils vous informent régulièrement des dangers sur Internet et vous aident à reconnaître les nouvelles escroqueries et à réagir de manière adéquate.

Visualisation d'une boîte aux lettres électronique dans un écran d'ordinateur portable avec l'icône Cloud Office. Visualisation d'une boîte aux lettres électronique dans un écran d'ordinateur portable avec l'icône Cloud Office.

Votre adresse e-mail avec domaine propre

Découvrez nos nouvelles offres de messagerie avec Cloud Office de Hostpoint. Vos adresses e-mail avec le domaine de votre choix, une mémoire généreuse pour vos e-mails et l’espace de stockage drive, différents outils Office et bien plus encore.

Cookie Cookie

Nous utilisons des cookies 🍪

Le sites Web de Hostpoint (site Web, Control Panel, Centre d'assistance, etc.) utilisent des cookies. Ces cookies servent à collecter des données sur les interactions des visiteurs. En cliquant sur «Accepter», vous consentez à l’utilisation de ces cookies à des fins de publicité, d’analyse du site Web et d’assistance. Certains cookies essentiels sont cependant indispensables au bon fonctionnement de notre sites Web et ne peuvent donc pas être désactivés. Même sans votre consentement, certaines données peuvent être utilisées sous forme anonymisée à des fins statistiques et pour améliorer notre sites Web. Veuillez prendre connaissance de notre Déclaration de protection des données.

Refuser
Accepter