Comment l’IA transforme les attaques d’ingénierie sociale

À mesure que les technologies d’intelligence artificielle se perfectionnent, elles introduisent aussi de nouveaux défis complexes pour se protéger contre les attaques d’ingénierie sociale. Ce billet examine les problèmes que l’IA pose à la cybersécurité et, en particulier, la façon dont elle modifie la manière dont les criminels mènent ces attaques.

Ami ou ennemi ?
Les capacités de l’IA à renforcer les efforts de cybersécurité sont considérables. De l’automatisation de la détection des menaces à l’analyse de vastes ensembles de données pour y repérer des activités suspectes, les outils basés sur l’IA se révèlent des alliés indispensables. Pourtant, ils renforcent aussi les adversaires, leur donnant les moyens de concevoir des campagnes d’ingénierie sociale plus ciblées et plus convaincantes.

L’essor des deepfakes
La technologie des deepfakes, propulsée par l’IA, illustre cette double nature. Elle permet de produire des audios et des vidéos truqués très réalistes, rendant possible l’usurpation d’identité avec une grande précision. Cette technologie est utilisée dans des escroqueries, des campagnes de désinformation et pour contourner des mesures de sécurité biométriques, ce qui représente une menace importante pour les individus et les organisations.

Exemple concret
En février 2024, lors d’un premier braquage de ce genre impliquant l’IA, un employé du service financier d’une multinationale a été trompé et a versé 25 millions de dollars à des fraudeurs. Les attaquants ont utilisé la technologie deepfake pour se faire passer pour le directeur financier de l’entreprise lors d’une visioconférence et ont dupé l’employé en lui faisant croire qu’il assistait à une réunion avec d’autres collaborateurs – tous en réalité des recréations deepfake.

L’employé avait d’abord suspecté un e-mail de phishing, car le message parlait d’une transaction secrète. Mais après la visioconférence, ses doutes se sont dissipés, car les autres participants semblaient et parlaient exactement comme ses collègues.

Par ailleurs, des deepfakes ont servi à diffuser de la désinformation sur les réseaux sociaux. Dans la guerre entre la Russie et l’Ukraine, les deux camps les ont utilisés à des fins de propagande et pour semer la discorde. En mars 2022, par exemple, une vidéo largement diffusée montrait le président ukrainien Volodymyr Zelensky incitant prétendument à la reddition ; une autre vidéo mettait ensuite en scène Vladimir Poutine évoquant une capitulation pacifique. Malgré leur faible résolution, ces vidéos se sont répandues rapidement, créant confusion et fausses histoires.

Attaques de phishing alimentées par l’IA
Les attaques de phishing, traditionnellement fondées sur la créativité humaine et la recherche, sont aujourd’hui suralimentées par l’IA. Des outils d’IA générative comme ChatGPT peuvent rédiger des messages personnalisés et convaincants qui imitent des communications légitimes d’entités de confiance. Ces tentatives de phishing pilotées par l’IA augmentent considérablement les chances de tromper les destinataires et réduisent l’efficacité des formations traditionnelles de sensibilisation à la sécurité.

Phishing par deepfake
Le phishing par deepfake reprend les techniques fondamentales de l’ingénierie sociale pour tromper les utilisateurs, en exploitant leur confiance et en contournant les défenses classiques. Les attaquants recourent aux deepfakes dans divers scénarios de phishing :

E-mails ou messages : le risque d’attaques de compromission d’e-mail professionnel (BEC), qui coûtent des milliards chaque année aux entreprises, s’accroît avec les deepfakes. Les cybercriminels peuvent créer des identités plus crédibles, par exemple en fabriquant de faux profils de dirigeants sur LinkedIn pour piéger des employés.
Appels vidéo : grâce aux deepfakes, des fraudeurs peuvent se faire passer de façon convaincante pour d’autres personnes dans des visioconférences, incitant les victimes à divulguer des informations sensibles ou à exécuter des transactions financières non autorisées. Un escroc chinois a ainsi détourné 622 000 $ grâce à la technologie de substitution de visage.
Messages vocaux : avec une technologie capable de cloner une voix à partir d’un échantillon de trois secondes, des attaquants peuvent créer des messages vocaux ou mener des conversations en temps réel, rendant la distinction entre vrai et faux très difficile.

Pourquoi le phishing deepfake est-il préoccupant ?

croissance rapide : le phishing deepfake a augmenté de 3 000 % en 2023, alimenté par les progrès et l’accessibilité de l’IA générative.
attaques hautement personnalisées : les deepfakes permettent aux attaquants d’adapter leurs stratagèmes en exploitant des vulnérabilités individuelles et organisationnelles.
difficulté de détection : la capacité de l’IA à imiter des styles d’écriture, à cloner des voix et à générer des visages réalistes rend ces attaques difficiles à repérer.

Les défis
La sophistication croissante des attaques d’ingénierie sociale alimentées par l’IA rend leur détection de plus en plus complexe. Les mesures de sécurité et les formations classiques sont conçues pour reconnaître des schémas et des incohérences typiques des escroqueries humaines. Or l’IA, en apprenant et en s’adaptant, affine sans cesse ses méthodes, réduit les anomalies détectables et imite toujours mieux le comportement humain.

évolution des algorithmes d’IA
Les algorithmes d’IA, notamment ceux fondés sur l’apprentissage automatique, évoluent en interagissant avec les données. Ce processus d’apprentissage continu signifie que les attaques pilotées par l’IA deviennent au fil du temps plus élaborées et moins détectables. Les systèmes de sécurité basés sur des méthodes statiques deviennent rapidement obsolètes et doivent être mis à jour et adaptés en permanence pour suivre l’évolution de l’IA.

Le facteur humain
Au cœur des attaques d’ingénierie sociale se trouve l’exploitation de la psychologie humaine. L’IA accentue cette vulnérabilité en permettant aux attaquants d’analyser et de comprendre le comportement humain à grande échelle. Cette compréhension approfondie permet de concevoir des attaques extrêmement ciblées exploitant des biais spécifiques – autorité, urgence, peur –, ce qui réduit l’efficacité des formations traditionnelles à la cybersécurité.

Formation et sensibilisation
Sensibiliser et former les individus à reconnaître et à résister aux attaques d’ingénierie sociale pilotées par l’IA est plus difficile que jamais. Le caractère réaliste des deepfakes et la personnalisation des e-mails de phishing peuvent contourner l’esprit critique inculqué par les formations. Il faut donc adopter une nouvelle approche de l’éducation à la cybersécurité qui tienne compte de la sophistication des menaces alimentées par l’IA.

Enjeux éthiques et réglementaires
L’utilisation de l’IA dans les attaques d’ingénierie sociale soulève aussi des questions éthiques et réglementaires complexes. La capacité de l’IA à imiter des individus et à créer des contenus falsifiés mais crédibles met à l’épreuve les cadres juridiques existants en matière de consentement, de vie privée et de liberté d’expression. Elle pose également la question de la responsabilité lorsqu’un employé est trompé ou ciblé par un deepfake.

Sécuriser l’avenir
Se défendre contre les attaques d’ingénierie sociale alimentées par l’IA exige une approche multidimensionnelle combinant solutions technologiques et vigilance humaine. Il est crucial de déployer des outils avancés d’IA et de machine learning pour détecter et contrer les menaces en temps réel. Mais il est tout aussi important de cultiver une culture de cybersécurité qui incite chacun à vérifier et à questionner, même face à des faux très convaincants.

En comprenant ces défis et en adoptant une approche proactive et informée par l’IA de la cybersécurité, les organisations peuvent mieux naviguer dans le labyrinthe des menaces numériques. Si les cybermenaces évoquées dans ce billet vous préoccupent, contactez les experts d’Integrity360.