Il ne fait aucun doute que l’apprentissage machine, les grands modèles de langage (LLM) et l’intelligence artificielle générative (IA Gen) sont en train de modifier les domaines les plus divers de notre monde. Ces nouvelles technologies sont à l’origine d’une avancée insoupçonnée de notre productivité, puisqu’avec seulement quelques commandes, elles créent des textes et des images qui nécessitaient beaucoup de plus travail auparavant. Les tâches rudimentaires seront notamment entièrement prises en charge par de l’intelligence artificielle dans un avenir proche.
Hélas, ces programmes révolutionnaires peuvent également être utilisés abusivement à des fins d’escroquerie. Dans un article précédent, nous avons déjà évoqué les risques d’attaque par hameçonnage (également connu sous le terme «phishing») et les meilleures pratiques de défense. Entre-temps, la situation a évolué avec l’ouverture de modèles de langage comme ChatGPT, puisqu’il est désormais possible de faire rédiger très simplement des textes parfaitement formulés, donc fiables.
Des études de spécialistes de la sécurité tels que, p. ex., l’entreprise SlashNext, spécialisée dans le hameçonnage, montrent que le nombre d’e-mails de phishing a augmenté de 1265% depuis le lancement de ChatGPT. À cette occasion, nous portons à nouveau notre regard sur les meilleures pratiques contre le hameçonnage et montrons ce qui a changé avec l’arrivée de l’IA générative.
Les 5 méthodes de hameçonnage les plus fréquentes
L’envoi d’e-mails (commerciaux) fait partie des méthodes les plus connues. Un escroc se fait passer pour une organisation légitime comme Facebook ou pour un haut responsable au sein d’une entreprise.
Mais la créativité des cybercriminels va bien au-delà de l’envoi d’e-mails à des destinataires aléatoires, comme le montre la liste ci-dessous d’autres méthodes de hameçonnage fréquentes.
| Méthode | Description |
|---|---|
| Phishing (hameçonnage) | Envoi massif d’e-mails qui prétendent provenir d’organisations légitimes ou de supérieurs hiérarchiques. |
| Spear phishing | Attaques personnalisées qui utilisent des informations spécifiques sur la cible. |
| Whaling (CEO Fraud) | Attaques ciblant spécifiquement des hauts responsables comme des CEO, des CFO et des COO en utilisant leurs informations publiques. |
| Smishing (hameçonnage par SMS) | SMS d’escroquerie invitant à partager des informations sensibles. |
| Vishing (hameçonnage vocal) | Appels de personnes qui se font passer pour une institution ou une personne dirigeante de confiance pour demander des données personnelles ou donner des instructions. |
Les criminels essaient d’accéder à des données d’accès et à des mots de passe non seulement en envoyant des e-mails en masse, mais également de manière très ciblée par SMS et par téléphone.
Étant donné que le hameçonnage n’est pas un phénomène nouveau, il existe heureusement des pratiques permettant de le repousser qui devraient entre-temps être connues de nombreux utilisateurs d’Internet. Mais peuvent-elles aujourd’hui encore résister à l’apparition d’une intelligence artificielle générative?
Intelligence artificielle et hameçonnage: qu’est-ce qui a changé?
Différentes formes d’e-mails de phishing sont en circulation. Alors que des technologies avancées comme l’intelligence artificielle sont de plus en plus utilisées pour rédiger des e-mails de hameçonnage, on trouve encore de nombreux mails de hameçonnage «classiques» qui contiennent souvent des indices typiques comme, par exemple, des fautes d’orthographe et de grammaire. La forte augmentation du nombre d’e-mails de phishing envoyés laisse cependant déjà entrevoir quelles conséquences les grands modèles de langage ont sur leur fréquence.
Dans le phishing par e-mail classique, des textes convaincants peuvent être rédigés automatiquement et beaucoup plus rapidement que par un être humain. Dans un même temps, de par l’absence de fautes d’orthographe révélatrices, un e-mail de phishing est de meilleure qualité, donc plus crédible. Dans le futur, des avertissements sous la forme de fautes de frappe, de changements de langue et de formulations non usuelles ne pourront donc plus être un indice clair d’e-mail suspect.
Les tentatives d’escroquerie par spear phishing ou par whaling deviennent d’autant plus perfides, puisqu’une intelligence artificielle et un apprentissage machine doivent imiter le style d’écriture et les formulations typiques d’une personne. L’IA pourrait apprendre les caractéristiques de langage d’une personne grâce à des textes publics, puis les reproduire. Si elle y arrive, le style d’écriture d’un supérieur hiérarchique ou d’un membre de la famille sera imité pour prendre contact avec un haut responsable, un employé ou une personne de confiance.
Imiter une personnalité est possible non seulement par écrit, mais également, si on dispose de suffisamment de matériel d’apprentissage sous forme d’enregistrement audio ou d’images vidéo. Cette méthode est connue sous le nom de deepfake: des voix et des visages sont copiés de manière très convaincante par une IA et mis sur d’autres personnes.
Il y a très peu de temps, une attaque réussie a eu lieu sur une entreprise à Hong Kong. Un collaborateur a reçu un e-mail où il lui était demandé d’effectuer différents paiements.
La méfiance initiale du collaborateur a été dissipée peu après lors d’une réunion vidéo avec le supérieur hiérarchique, imité par deepfake. Lors d’une attaque aussi complexe, il est très difficile pour la victime de voir qu’il y escroquerie. Heureusement, ce scénario est une exception rare, qui cible plutôt des objectifs isolés et nécessite beaucoup plus d’énergie criminelle.
Meilleures pratiques actuelles contre les attaques de hameçonnage
Alors que faire si toute communication numérique peut être manipulée à s’y méprendre?
La plupart des meilleures pratiques pour se défendre contre le phishing classique restent actuelles et aident activement à éviter des dommages. Sur notre page d’informations sur le phishing, vous trouverez des conseils utiles et des exemples des mails de hameçonnage les plus fréquents qui se font passer pour des mails envoyés par Hostpoint AG.
Pour prévenir des attaques, les points suivants sont plus importants que jamais, notamment dans un environnement d’entreprise:
-
Règles de base
Lorsque vous recevez des e-mails suspects, ne cliquez sur aucun lien, ne téléchargez pas de pièces jointes et ne répondez jamais à ces mails. Des entreprises sérieuses ne vous demanderont jamais votre mot de passe. Si c’est le cas, il s’agit très probablement d’une tentative d’escroquerie. -
Vigilance
Ne cédez pas à la pression, ni du temps ni de quelqu’un qui prétend être votre supérieur hiérarchique. Si vous avez une intuition qui vous fait douter, tenez-en compte. Passez à l’action et demandez brièvement de vive voix à l’expéditeur si le contenu du message est véridique. Cela vous permettra de vous couvrir en cas de doute. -
Processus résilients
Dès aujourd’hui, mettez en place dans votre entreprise ou votre service des processus qui pourront servir d’orientation à toutes les parties prenantes. Veillez à ce que les authentifications multifacteurs soient activées et à ce que les responsables se voient attribuer uniquement les droits dont ils ont vraiment besoin. Une rupture évidente de procédures définies peut être un premier avertissement de tentative d’escroquerie. -
Communication
N’informez pas uniquement les collaborateurs et les collègues, mais également la famille et les amis des dangers. Pour les cas d’urgence, convenez d’un mot de passe que seules des personnes initiées connaissent. Ainsi, en cas de tentative d’escroquerie essentiellement basée sur le plan émotionnel (problèmes d’argent, accident), les escrocs auront moins de chance de réussir même avec une voix très ressemblante.
Vous avez reçu un mail de hameçonnage?
Si vous voyez un e-mail suspect faisant référence à Hostpoint, informez-vous sur notre page d’informations sur le phishing créée spécialement pour ça et informez-nous de votre soupçon à l’adresse e-mail phishing-aviser@hostpoint.ch.
J’ai été victime d’un hameçonnage – que faire?
Si le piège du hameçonnage s’est refermé sur vous, que ce soit dans le contexte professionnel ou privé, vous devez réagir immédiatement.
-
Si des données d’un compte bancaire ou d’une carte de crédit sont concernées, contactez immédiatement votre banque et faites bloquer les cartes le plus rapidement possible. N’effacez pas l’e-mail ou le SMS frauduleux, car cela pourra servir de preuve en cas de problèmes. Étant donné qu’il s’agit d’un délit, vous devriez porter plainte.
-
Changez vos mots de passe concernés en utilisant un autre apparei.
-
Si vous ne l’avez pas encore fait, vous devriez maintenant activer une authentification à deux facteurs ou multifacteur partout où c’est possible.
-
Par sécurité, il est conseillé d’exécuter un programme antivirus sur l’appareil pour supprimer des logiciels malveillants qui auraient pu être installés lors de l’attaque. L’objectif est d’empêcher que d’autres données telles que, par exemple, de nouveaux mots de passe soient lues et enregistrées. En cas de doute, demandez conseil à un expert qui pourra vous aider.
Dans une entreprise, les collaborateurs et collaboratrices n’osent souvent pas signaler immédiatement ou à temps des cas d’escroquerie par peur de conséquences (personnelles) ou par honte. Un temps précieux est perdu, car de ce fait les mesures nécessaires ne peuvent pas être prises aussitôt.
Plus les responsables informatiques sont informés tôt, mieux c’est. Ils peuvent évaluer la situation et réagir en conséquence. Cela permet de protéger tous les domaines et d’empêcher de plus gros dommages.
Pour que les conditions préalables nécessaires soient réunies dans les entreprises, il est donc extrêmement important de vivre une culture de l’erreur positive et de motiver activement les collaborateurs et collaboratrices pour qu’ils ou elles n’aient pas peur de signaler de tels cas.
«Une communication ouverte et basée sur la confiance est un des piliers essentiels de la sécurité informatique. En cas d’incident, les mesures possibles et leur succès dépendent fortement de la rapidité et de la franchise avec lesquelles les experts du service informatique sont informés et impliqués.»
Il est très important de savoir que même les personnes les mieux formées peuvent se faire avoir par une attaque de phishing. Vu les méthodes d’escroquerie sophistiquées et de plus en plus complexes techniquement, être victime d’une escroquerie n’est pas une honte.
L’intelligence artificielle également comme alliée
Même si les développements révolutionnaires dans des domaines comme l’apprentissage machine peuvent être utilisés abusivement à des fins d’escroquerie, cela ne les rend pas mauvais en soi. Bien au contraire: ces technologies offrent également des possibilités considérables dans la lutte contre la cybercriminalité. L’intelligence artificielle est notamment déjà utilisée depuis des années pour détecter précocement des attaques malveillantes et les repousser, et elle jouera un rôle encore plus important à mesure que sa précision et son efficacité augmenteront.
Chez Hostpoint également, les collaborateurs sont régulièrement sensibilisés et formés aux risques en matière de sécurité. De plus, nous investissons continuellement dans des mesures de sécurité supplémentaires pour notre infrastructure.
Vous trouverez également d’autres sources utiles sur les risques du hameçonnage auprès de l’Office fédéral de la cybersécurité (OFCS), de la Prévention Suisse de la Criminalité ainsi que de l’Internet Security Alliance (iBarry). Ils vous informent régulièrement des dangers sur Internet et vous aident à reconnaître les nouvelles escroqueries et à réagir de manière adéquate.
