Depuis le lancement de ChatGPT en novembre 2022, de nombreux utilisateurs ont noté que si cet agent conversationnel dopé à l’Intelligence Artificielle (IA) est capable d’écrire des mails professionnels convaincants, il est également à même de développer des messages de phishing afin de duper des internautes. Un risque de taille car ce vecteur d’attaque reste la principale menace selon la plate-forme d’assistance aux victimes cybermalveillance.gouv.fr, avec 1,9 million de consultations en 2022.
Tribune – Selon Chad Thunberg, RSSI chez Yubico, l’IA perfectionne les attaques d’ingénierie sociale et il devient de plus en plus difficile de les contrer :
« La récente mise en lumière des avantages et du potentiel de ChatGPT a suscité des inquiétudes en matière de cybersécurité, notamment car l’agent conversationnel facilite le développement de campagnes malveillantes de phishing et de ransomware, par exemple en réduisant leur coût et leur complexité pour les cybercriminels. En outre, ces attaques basées sur l’intelligence artificielle et l’apprentissage automatique sont très crédibles et beaucoup plus difficiles à identifier pour les utilisateurs.
Les contrôles qui étaient difficiles à contourner pour les cybercriminels, tels que la reconnaissance vocale pour s’identifier lors d’une reconfiguration de mot de passe, deviendront aussi rapidement obsolètes. Bien que ChatGPT en soi ne produise pas (encore) de résultats convaincants en matière de spear phishing, il pourrait être utilisé pour améliorer significativement les campagnes de phishing ; palliant notamment les erreurs classiques comme les fautes de grammaire et les informations inexactes.
Alors que l’adoption de ces outils continue d’augmenter, il est essentiel de se focaliser sur les principaux moyens de contourner les risques associés. Il s’agit notamment de recourir à des méthodes d’authentification multifacteur (MFA), et basées sur l’identité, qui soient solides et résistantes au phishing. Il est d’autant plus important que les entreprises puissent désormais se reposer sur une identité digitale de confiance, étant donné que l’efficacité des vérifications d’identité utilisées pendant des décennies – telles que la vérification vocale et vidéo – s’affaiblit.
Les identifiants liés à des objets physiques, et conçus autour de principes cryptographiques, comme les clés de sécurité matérielles YubiKey, sont cependant à même de contrer ce type de menace sophistiquée. »