IA : une aubaine pour l’ingénierie sociale

« La fin de la vérité. Politique, amour, musique : comment l’intelligence artificielle peut nous tromper », titrait la une du magazine allemand Der Spiegel, dans son numéro du 8 juillet 2023. Et pour cause, avec l’émergence des deepfakes représentant le Pape en boîte de nuit ou Barack Obama proférant des insultes à l’égard de Donald Trump, jamais la fiction et la réalité n’ont semblé autant se confondre.

Dans le cadre d’une cyberattaque par ingénierie sociale où l’attaquant profite en effet des vulnérabilités de sa cible au moyen d’une interaction sociale, cette confusion entre fiction et réalité, rendue possible par l’IA, peut être exploitée pour mieux tromper. La victime adopte alors plus facilement les comportements attendus d’elle pour compromettre un système d’information ou extorquer.

Cet usage abusif de l’IA peut être pratiqué lors des différentes étapes d’une cyberattaque par ingénierie sociale : de la recherche d’informations sur la cible à l’exécution de l’attaque en passant par la phase d’approche. Etant donné sa sophistication croissante, cet usage malveillant oblige aussi à renforcer la place de l’humain dans la cybersécurité des organisations.

L’IA amplifie l’effet levier pour mieux tromper

C’est le célèbre hacker Kevin Mitnick, décédé en juillet 2023, qui a théorisé le principe de l’effet levier dans son livre « L’Art de la supercherie ». Ce principe désigne le renforcement de la capacité à exploiter les failles humaines au moyen de la collecte d’informations sur la cible. Selon un rapport d’Europol intitulé Usages et abus malveillants de l’intelligence artificielle, certains programmes d’IA permettent justement d’amplifier l’effet levier en récoltant facilement une grande quantité d’informations précieuses concernant la cible pour mieux la tromper.

Il existe par exemple l’outil Eagle Eyes. Il est capable de trouver les comptes de réseaux sociaux associés à une cible physique dont on possède une photo grâce à un algorithme de reconnaissance faciale. Sur les forums spécialisés, est aussi promu le programme Raven. Il s’agit d’un outil permettant de collecter de nombreuses informations sur les employés d’une organisation.

A partir du nom de celle-ci, ce programme trouve toutes les correspondances possibles d’employés présents sur LinkedIn et extrait leurs données pour en déduire leurs adresses électroniques. L’extension Lusha, capable de récupérer des mails et des numéros de téléphone par le biais de comptes LinkedIn, Twitter, Gmail ou Salesforce, peut être utilisée en complément.

L’usage malveillant de ces informations récoltées par ces programmes d’IA peut être redoutable. Imaginons le cas d’un cyberattaquant qui souhaite compromettre le système d’information d’une organisation. Grâce à Eagle Eyes, il repère le compte Facebook très discret (car sous pseudonyme) d’un des dirigeants de l’organisation. Par le biais d’un compte qu’il crée pour l’occasion, le cyberattaquant réussit à devenir « ami Facebook » avec le dirigeant. En analysant son profil, il découvre qu’il a une fille, qui est une jeune étudiante. Il la demande en « ami » et celle-ci accepte. Sous une de ses publications, elle écrit ce commentaire à une de ses amies : « l’agence immobilière vient d’accepter mon dossier et mon père a accepté de se porter garant. Trop contente ! »

Grâce à Raven, la cyberattaquant possède le mail professionnel du dirigeant. En se faisant passer pour une agence immobilière (il crée une adresse électronique pour l’occasion), il lui envoie un courriel dans lequel il lui explique qu’il doit signer le document en pièce jointe « pour finaliser le contrat de location de l’appartement de sa fille ». Il clique sur la pièce jointe qui contient un malware.

Au moyen du développement de ce genre de programmes d’IA, nul doute que les cyberattaques par ingénierie sociale vont être de plus en plus individualisées et ciblées. Ainsi, le cyberattaquant pourra mieux adapter son assaut dans le but d’augmenter les chances que la victime soit convaincue de la véracité des intentions destinées à la tromper.

Une tromperie de plus en plus sophistiquée

Début 2020, comme l’a révélé Forbes, le directeur d’une succursale reçoit un appel téléphonique d’un homme dont la voix est celle du directeur d’une société japonaise. Cette voix lui demande d’opérer des transferts de fonds d’un montant de 35 millions de dollars en vue d’une acquisition. Le directeur, convaincu de la véracité de la demande de cette voix qu’il connaît très bien, commence à effectuer les virements bancaires. Hélas pour lui, il a été victime d’un clonage vocal.

Aujourd’hui, de nombreux programmes d’apprentissage automatique permettent aux cyberattaquants de cloner une voix pour l’utiliser contre leurs cibles. Par exemple, certains forums spécialisés font la promotion de l’outil SV2TTS capable de générer de la parole à partir d’un texte au moyen d’un enregistrement vocal de quelques secondes seulement. Là encore, les IA récoltant facilement des informations concernant la cible sont précieuses tant il devient facile, par exemple, d’usurper la voix d’un proche de la victime.

En outre, le deepfake audio peut aussi être associé à un deepfake vidéo grâce à des programmes d’apprentissage automatique comme DeepFaceLab. Ainsi, dans le nord de la Chine, un escroc a récemment convaincu sa victime de lui transférer 4,3 millions de yuans (environ 600 000 euros) en se faisant passer pour un de ses amis lors d’un appel vidéo utilisant l’IA comme l’a rapporté Tom’s Guide.

Les deepfakes peuvent aussi être efficaces, dans le cadre d’attaques d’hameçonnage, pour extorquer des informations sensibles. Et la prudence est de mise car comme l’observe la société VMware dans son rapport annuel de 2022, parmi les 125 professionnels de la cybersécurité qu’elle a interrogés, 66% disent avoir été témoins d’une cyberattaque avec un deepfake soit une augmentation de 13% par rapport à 2021. Ces attaques utilisent plus souvent le format vidéo (58%) que le format audio (42%) et sont surtout effectuées par courriel (78%). Il est fort probable que cette tendance à la hausse se poursuive au fur et à mesure de la démocratisation des IA permettant de créer des deepfakes.

Enfin, les IA génératrices de texte sont aussi très utilisées par les cyberattaquants pour mieux tromper leurs victimes. Comme l’observe une récente étude de la société Darktrace intitulée « IA générative : Impact sur les cyberattaques par courriel », il y a eu « une augmentation de 135% des ‘nouvelles attaques d’ingénierie sociale’ sur des milliers de clients actifs du service Darktrace/Email de janvier à février 2023, ce qui correspond à l’adoption généralisée de ChatGPT 2 ». Et pour cause, un courriel frauduleux élaboré par ChatGPT ne contient aucune faute d’orthographe et apparaît donc souvent, aux yeux des victimes, dénué de fins malveillantes, lit-on dans l’étude.

Renforcer la place de l’humain dans la cybersécurité

Bien que, dans la cybersécurité des organisations, l’IA permette de grandes avancées technologiques capables de remplacer de nombreuses tâches humaines, elle oblige, en même temps, à prendre plus en compte le facteur humain. En effet, sophistiquant l’ingénierie sociale grâce, notamment, à l’élaboration d’architectures de données fictives immersives rendues possibles par les deepfakes, ses progrès nécessitent d’opérer un véritable « tournant cognitif de la cybersécurité », comme l’explique Bruno Teboul, directeur et fondateur de Neurocyber, entreprise spécialisée dans la lutte contre la cybercriminalité via les neurosciences cognitives.

Ce tournant cognitif doit passer par la prise en compte des vulnérabilités de l’esprit humain, comme les biais cognitifs, afin que celles-ci soient « diagnostiquées et mises à l’épreuve par des tests psychologiques » explique Bruno Teboul. Selon la société Gartner, ce tournant semble une des grandes tendances émergentes : « d’ici 2027, 50% des RSSI des grandes entreprises auront adopté des pratiques de conception de la sécurité centrées sur l’humain » en partie du fait ‘de la fraude fondée sur l’IA’ », peut-on lire dans son rapport sur ses prédictions de 2023.