![[Forum InCyber 2024] Intelligence artificielle & arnaques numériques : sommes-nous condamnés à se faire avoir ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-2160x735.jpg)
Forum InCyber 2024 Intelligence artificielle & arnaques numériques : sommes-nous condamnés à se faire avoir ?
L’affaire a fait grand bruit. En février 2024, une entreprise basée à Hong-Kong a été victime d’une « arnaque au président » rendue crédible par une vidéoconférence en deepfake générée par une IA. Mis en confiance, un collaborateur a alors accepté d’effectuer plusieurs virements bancaires d’un montant total de 24 millions d’euros au bénéfice de ce qui s’est avéré être une fraude magistrale. Pour les experts, il s’agit là du premier cas au monde de la fameuse « arnaque au président » dopée à l’intelligence artificielle générative.
Les arnaques sur les réseaux numériques et de télécommunications ne sont en soi pas nouvelles. En revanche, l’adjonction de l’IA pour booster les capacités à leurrer les individus et les entreprises, trace des perspectives préoccupantes pour les responsables des systèmes d’information et de la cybersécurité. Antoine Bajolet, membre du Clusif et RSSI de Henner – un groupe de courtage en assurances – distingue globalement trois catégories d’arnaques numériques : le hacking qui implique une intrusion dans les systèmes informatiques d’une organisation, la déstabilisation pour détruire la réputation et les arnaques à base de courriels, SMS et messages qui usurpent des identités pour dérober de l’argent et/ou des informations sensibles.
Ennemi public n°1 : le spearphishing
Aux yeux d’Antoine Bajolet, c’est dans cette dernière catégorie que le danger est le plus manifeste depuis que l’IA est utilisée à des fins frauduleuses, notamment à travers une méthode de piratage redoutable communément appelée hameçonnage ciblé (ou spearphishing). Celle-ci reprend parfaitement les codes visuels, graphiques et sémantiques d’un émetteur donné tout en y ajoutant des éléments de contexte qui permettent de personnaliser le message et d’endormir la méfiance de la personne ciblée. L’IA a considérablement décuplé les capacités du spearphishing en restituant à l’identique une identité et une manière de s’exprimer. Le destinataire va ainsi répondre ou bien cliquer sur un lien piégé qui active un logiciel malveillant permettant aux pirates d’accéder au système informatique d’une organisation. Antoine Bajolet cite notamment le cas de Pikabot, un malware particulièrement dangereux par sa sophistication existant depuis 2023.
Jean-Baptiste Roux, vice-président Europe sales de Sosafe, une société spécialisée qui accompagne et forme les organisations publiques et privées en matière de cybersécurité corrobore ce constat. Le spearphishing mâtiné d’IA génère un taux de clic nettement plus important que les arnaques classiques du fait de cette capacité à s’immiscer dans le contexte des personnes visées. Mises en confiance par un environnement qui leur est familier, ces dernières ont tendance à tomber plus facilement dans le piège tendu. S’appuyant sur une récente étude de Sosafe, Jean-Baptiste Roux précise qu’en 2024, l’IA générative qui rend les outils d’ingénierie sociale plus élaborés et plus complexes à repérer, mettra la psychologie humaine au cœur d’un nombre sans précédent d’arnaques similaires.
Quand l’interne « favorise » l’arnaque
Directeur de la stratégie cyber de Forecomm, une société qui conçoit des solutions de cybersécurité pour les entreprises, Philippe Loudenot partage le même regard. L’IA permet d’accélérer et de massifier les arnaques numériques avec des apparences de plus en plus troublantes de véracité. Pour lui, « le pire est devant nous. La seule limite sera l’esprit humain et sa capacité à créer des produits malintentionnés. Il est essentiel qu’on sache garder et cultiver un sens critique, qu’on s’accorde un peu plus de temps de réflexion face à un message plutôt que cliquer sans réfléchir. Cela reste encore la meilleure protection ».
Antoine Bajolet confirme effectivement que les arnaques sont souvent efficaces parce que “à la base, il y a une erreur humaine”. Erreur qui peut aussi provenir de l’intérieur d’une organisation. Dans certains chats de service après-vente, il arrive parfois que les développeurs confient au bot (pour le nourrir), des données confidentielles qui vont ensuite s’agréger à des données plus basiques et qui vont possiblement fuiter à l’extérieur alors que celles-ci auraient dû demeurer dans un environnement interne sécurisé. Or, ces données peuvent à leur tour inspirer des pirates pour concevoir de nouvelles arnaques encore plus crédibles.
La vigilance humaine, meilleur rempart
Pour autant, les spécialistes autour de la table ne cèdent pas à la panique. Des solutions de protection existent et elles ne sont pas uniquement technologiques. Pour Antoine Bajolet, il y a d’abord le bon sens et la vigilance, comme le fait d’observer de plus près le nom de domaine (DNS) utilisé dans un message. Généralement, une organisation utilise un DNS unique et officiel pour communiquer avec ses publics. Dès lors, il convient de scruter attentivement l’extension qui lui est accolée (.fr, .com ou quelque chose de plus exotique !) et son orthographe. En effet, les pirates recourent à des noms de domaines approchants (à un caractère près par exemple ou une lettre inversée) pour usurper l’identité d’un émetteur.
Autre point qui contribue à rassénérer quelque peu selon Antoine Bajolet : les modes opératoires des IA malveillantes ne changent guère. En conséquence, il faut appliquer rigoureusement et en permanence les procédures de sécurité informatique qui existent dans chaque organisation et qui demeurent tout à fait pertinentes pour contrer des arnaques à base d’IA. En cas de doute extrême, il s’agit même de ne pas hésiter à prendre son téléphone pour appeler un collègue et vérifier si le message est authentique ou falsifié, s’il provient bien de lui ou d’un avatar parfaitement imité. Conserver son esprit critique reste encore un excellent moyen de prophylaxie contre les arnaques numériques.
Jean-Baptiste Roux fait remarquer que les arnaques à base d’IA s’inspirent des comportements humains qui traitent les informations de plus en plus vite sans faire nécessairement attention ou prendre du recul par rapport à une arnaque très bien conçue. De même, l’expert trouve que les entreprises ont tendance à recourir à l’IA sans même réfléchir à la mise en place préalable d’une gouvernance stricte qui encadre les usages. Actuellement, on estime à 300 millions d’utilisateurs qui ont adopté l’IA dans leurs pratiques professionnelles sans même disposer de guidelines et de procédures qui aident à sécuriser l’usage des données. Un sujet sur lequel les organisations doivent impérativement mieux prendre la mesure. A l’heure où les logiciels malveillants 100% automatisés par IA se propagent, la question est effectivement cruciale.