Est-ce votre PDG au téléphone ? Les arnaques deepfake et les nouvelles menaces d'hameçonnage à connaître

Pendant des années, on nous a appris à repérer les arnaques par hameçonnage grâce à leurs signes révélateurs : les fautes de frappe flagrantes, les salutations maladroites du type « Cher Monsieur ou Madame » et les liens suspects. On riait du tristement célèbre e-mail du « Prince Nigérian » et on a appris à se fier à son instinct quand quelque chose nous semblait anormal. Mais les règles du jeu ont complètement changé. Les escrocs utilisent désormais la puissance de l'intelligence artificielle.

Il ne s'agit pas seulement d'une évolution, mais d'une révolution dans la cybercriminalité. Les arnaques par hameçonnage utilisant l'IA ne sont plus de simples contrefaçons : ce sont des attaques hyperréalistes, hautement personnalisées et terriblement convaincantes qui contournent les mesures de sécurité traditionnelles et l'intuition humaine. En tant que dirigeant de PME (PME), vous devez comprendre ce qu'est le hameçonnage par IA, comment repérer ces nouvelles menaces et comment vous en protéger.

L'évolution : du phishing du « prince nigérian » à l'usurpation d'identité par IA

Faisons un bref retour en arrière pour comprendre à quel point le paysage des menaces a évolué. Le phishing traditionnel était un jeu de volume. Les attaquants envoyaient des milliers d'e-mails génériques en espérant qu'un petit pourcentage d'entre eux tomberait dans le panneau. Leurs tactiques étaient simples : un objet alarmiste, un appel à une action immédiate et un lien vers une fausse page web. Les escroqueries étaient souvent truffées d'erreurs, ce qui les rendait relativement faciles à repérer pour un utilisateur averti. Un e-mail de votre « banque » avec une grammaire incorrecte était un signal d'alarme majeur.

Puis est arrivée la révolution de l'IA. Avec la généralisation de l'IA générative et des grands modèles de langage (LLM), le travail des escrocs est devenu beaucoup plus facile. Ces outils peuvent analyser et reproduire les schémas de langage humain avec une précision étonnante, éliminant instantanément les signaux d'alarme les plus courants du phishing traditionnel. Le résultat est une arnaque soignée, professionnelle et terriblement efficace.

La nouvelle « boîte à outils de l'escroc » comprend une gamme de fonctionnalités sophistiquées :

• Un langage impeccable : Fini les fautes de frappe flagrantes. L'IA peut rédiger un anglais (ou toute autre langue) parfaitement naturel, fidèle au ton d'un e-mail professionnel. Le message est cohérent, grammaticalement correct et instantanément plus crédible.

• Hyper-personnalisation : l'IA peut analyser les données publiques, des profils de réseaux sociaux aux sites web d'entreprise, pour élaborer une attaque hautement ciblée. Un e-mail d'hameçonnage peut désormais faire référence à un projet récent sur lequel votre équipe travaille, à un événement d'entreprise auquel vous venez de participer, voire à votre rôle et vos responsabilités. Cette personnalisation donne à la demande frauduleuse un aspect tout à fait normal et fiable.

• Automatisation à grande échelle : Un escroc humain ne peut créer qu'un nombre limité d'e-mails personnalisés. L'IA, quant à elle, peut générer des milliers de messages d'hameçonnage uniques et de haute qualité en quelques minutes. Cela accroît le volume des attaques et permet aux criminels de cibler simultanément davantage d'entreprises et de particuliers, les rendant ainsi plus rapides, plus intelligents et plus évolutifs que jamais.

L'anatomie d'une attaque alimentée par l'IA

Le phishing ne se limite plus aux e-mails. La menace a évolué et inclut désormais des attaques sophistiquées sur de multiples canaux de communication, optimisées par l'IA.

Compromission des e-mails professionnels (BEC) sous stéroïdes

Les escroqueries BEC comptaient déjà parmi les cybercrimes les plus dommageables financièrement. L'IA les a rendues encore plus dangereuses. Au lieu d'une simple demande d'achat de cartes-cadeaux, l'IA peut créer une attaque convaincante en plusieurs étapes. Par exemple, un escroc peut d'abord envoyer un e-mail depuis un faux compte fournisseur qui semble être celui d'un fournisseur légitime. L'e-mail peut contenir une facture soigneusement rédigée, accompagnée d'un récit généré par l'IA faisant référence à un projet réel. La victime, croyant la demande légitime, paie la facture, et les fonds sont transférés à l'escroc. L'IA intervient à chaque étape, de la création d'un texte impeccable à la génération de documents réalistes, en passant par l'élaboration d'une histoire de fond plausible.

L'essor du deepfake vishing et du smishing

Bien que le courrier électronique reste un vecteur principal, l’IA a également transformé d’autres méthodes de communication en armes.

• Vishing (hameçonnage vocal) : Il s'agit d'une menace particulièrement insidieuse. À partir d'un extrait audio de trois secondes seulement, issu d'un message vocal, d'une vidéo publique ou même d'un simple appel téléphonique, l'IA peut cloner la voix d'une personne avec une précision surprenante. Imaginez recevoir un appel téléphonique qui ressemble exactement à celui de votre PDG, vous demandant d'autoriser un virement bancaire pour un paiement d'urgence. Les escrocs utilisent cette tactique pour abuser de la confiance et de la réaction émotionnelle de leurs victimes. L'un des exemples les plus connus concerne une entreprise énergétique britannique qui a été escroquée de 243 000 dollars lorsque des attaquants ont utilisé un son généré par l'IA pour imiter la voix du PDG allemand de l'entreprise. Dans un autre cas, un employé de l'entreprise a été piégé et a transféré 25 millions de dollars après avoir reçu des instructions de ce qu'il pensait être son supérieur lors d'une visioconférence.

• Smishing (hameçonnage par SMS) : l'IA rend également les SMS frauduleux plus convaincants. Les messages ne sont plus truffés de fautes de grammaire et de phrases maladroites. Ils peuvent être contextuels, personnalisés et créer un sentiment d'urgence qui incite les destinataires à cliquer sur un lien malveillant ou à divulguer des informations sensibles.

Deepfakes dans les appels vidéo

Avec le télétravail et la visioconférence devenus la norme, la technologie deepfake représente une menace émergente et sérieuse. Un attaquant peut créer une vidéo deepfake convaincante d'un responsable ou d'un cadre, donnant des instructions lors d'une visioconférence, ce qui conduit à des paiements frauduleux ou au partage d'informations sensibles. La victime voit un visage familier et entend une voix familière, sans se rendre compte qu'elle parle à une imitation sophistiquée générée par une IA.

Au-delà de l'évidence : nouveaux signaux d'alarme à surveiller

Les anciennes règles de détection du phishing ne suffisent plus. Pour protéger votre entreprise, vous et vos employés avez besoin d'une nouvelle liste de contrôle « Détecteur de phishing par IA ».

• Vérifiez l'adresse complète de l'expéditeur : Le nom d'affichage d'un e-mail peut facilement être falsifié, mais l'adresse e-mail réelle est beaucoup plus difficile à falsifier parfaitement. Apprenez à vos employés à toujours survoler le nom de l'expéditeur avec la souris (ou à maintenir le doigt appuyé sur un appareil mobile) pour afficher l'adresse e-mail complète. Repérez même les variations les plus subtiles, comme support@amason.com au lieu de support@amazon.com , ou un domaine .biz au lieu du .com habituel.

• Vérifiez vous-même les demandes inattendues ou urgentes : La règle la plus importante est de ralentir et de vérifier. Si vous ou un employé recevez une demande inattendue de virement bancaire, de réinitialisation de mot de passe ou de données sensibles, n'y donnez pas suite. Contactez plutôt l'expéditeur présumé via un autre canal de communication fiable. Appelez-le à un numéro de téléphone enregistré dans vos dossiers, et non à celui indiqué dans l'e-mail.

• Remettez en question le ton et le contexte : même avec une grammaire et une personnalisation parfaites, un e-mail peut paraître décalé en raison du contexte. Par exemple, votre PDG a-t-il l'habitude d'envoyer un e-mail directement à ses employés pour un virement bancaire ? La demande arrive-t-elle à un moment inhabituel ? Un message de votre service RH concernant une nouvelle politique vous obligeant à « cliquer immédiatement sur un lien pour mettre à jour vos informations » devrait éveiller vos soupçons si vous ne vous y attendiez pas.

• Soyez attentif aux signaux audio/visuels subtils : Lors des appels téléphoniques ou des visioconférences, demandez à votre équipe d'être attentive aux « problèmes audio ». Il peut s'agir de pauses anormales, d'un ton robotique ou d'inflexions étranges. Lors d'un appel vidéo, soyez attentif aux incohérences d'éclairage, aux mouvements des lèvres qui ne correspondent pas exactement à l'audio ou à une immobilité anormale dans le langage corporel. Si quelque chose vous semble étrange, raccrochez et rappelez la personne à son numéro officiel.

Votre stratégie de défense : étapes pratiques pour les propriétaires de PME

Combattre le phishing assisté par l'IA ne nécessite pas le budget d'une entreprise du Fortune 500. Votre meilleur atout est votre équipe, et en la responsabilisant, vous pouvez créer un puissant « pare-feu humain ».

• Investissez dans une formation moderne de sensibilisation à la sécurité : allez au-delà des formations annuelles génériques. Mettez en place un programme continu incluant des simulations d'hameçonnage réalistes imitant les attaques par IA. Ce type de formation est plus efficace, car il teste la capacité de vos employés à repérer les nouveaux signaux d'alerte et fournit un retour d'information instantané pour renforcer les bonnes habitudes.

• Mettre en œuvre l'authentification multifacteur (AMF) : il s'agit d'une mesure de sécurité incontournable. L'AMF ajoute une couche de protection supplémentaire en exigeant une seconde forme de vérification (comme un code d'authentification provenant d'une application ou d'un SMS) en plus du mot de passe. Cela empêche un pirate d'accéder à un compte, même s'il parvient à voler les identifiants.

• Améliorez votre filtrage et votre sécurité des e-mails : de nombreux filtres de messagerie traditionnels sont conçus pour détecter les anciens signes d'hameçonnage. Envisagez de passer à une solution de sécurité de messagerie utilisant l'IA et l'apprentissage automatique pour détecter les anomalies contextuelles, comme un message provenant d'un expéditeur fiable qui ne correspond pas à un modèle de communication connu.

Garder une longueur d'avance

L'essor du phishing basé sur l'IA est un signal d'alarme pour tout chef d'entreprise. Si les anciennes règles de détection des arnaques ne s'appliquent plus, les principes d'une défense efficace restent les mêmes. En restant informé, en formant vos employés à la sécurité et en mettant en œuvre des mesures de protection techniques robustes comme l'authentification multifacteur, vous pouvez protéger votre entreprise contre les menaces les plus sophistiquées. La sécurité n'est pas une fin en soi ; c'est un processus continu de sensibilisation et d'adaptation.

Bibliographie

• « Attaques de phishing par IA : une menace en constante évolution », Check Point Software, https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/ai-phishing-attacks/

• « Comment l'IA rend les attaques de phishing plus dangereuses », Keeper Security, https://www.keepersecurity.com/blog/2024/09/13/how-ai-is-making-phishing-attacks-more-dangerous/

• « L'IA vient de réécrire les règles du BEC : vos défenses sont-elles prêtes ? », UpGuard, https://www.upguard.com/blog/ai-powered-phishing

• « Anatomie d'une attaque de phishing par deepfake voice », blog Group-IB, https://www.group-ib.com/blog/voice-deepfake-scams/

• « Les arnaques par usurpation d'identité par IA explosent : voici comment les repérer et les arrêter », Edhat, https://www.edhat.com/news/ai-impersonation-scams-are-exploding-heres-how-to-spot-and-stop-them/

• « Comment protéger votre petite entreprise contre les escroqueries liées à l'IA », Washington Trust Bank, https://www.watrust.com/articles/how-to-fraud-proof-your-small-business-against-ai-driven-scams

• « Comment l'IA transforme la formation à la sensibilisation à la sécurité sur le lieu de travail moderne », Strongest Layer, https://www.strongestlayer.com/blog/ai-transforming-security-training