Pendant trop longtemps, le discours autour de l’IA en cybersécurité s’est concentré sur ses capacités défensives. Si l’IA révolutionne la manière dont les organisations se protègent — en apportant une rapidité, une précision et une automatisation sans précédent — il est crucial de reconnaître l’autre face de la médaille. Les cybercriminels adoptent rapidement l’IA, utilisant des modèles de langage étendus (LLM) et des IA agentiques avancées pour concevoir des attaques plus puissantes et plus furtives.
Tribune Check Point – Prenons l’exemple de la montée des LLM malveillants tels que WormGPT et le plus récent Xanthorox AI. Il ne s’agit pas simplement de menaces théoriques : ce sont des plateformes conçues à des fins malveillantes. WormGPT, basé sur le modèle GPT-J, était commercialisé comme une alternative « blackhat », proposant des fonctionnalités adaptées aux activités malveillantes et aurait été entraîné sur des données liées aux malwares. Bien que ses créateurs aient cessé leurs activités, le mal est fait. On observe une tendance croissante aux outils d’attaque basés sur l’IA, notamment BurpGPT, PentestGPT, FraudGPT et PassGPT, avec des projets pour des modèles encore plus sophistiqués tel que « Evil-GPT-Web3 ».
Xanthorox AI, apparu au premier trimestre 2025, représente un saut significatif. Contrairement aux versions précédentes, il s’agit d’un système autonome et modulaire, entièrement conçu de zéro, fonctionnant entièrement hors ligne pour un anonymat et une résilience accrus. Ses cinq modèles spécialisés — Xanthorox Coder, V4 Model, Xanthorox Vision, Xanthorox Reasoner Advanced et le Fifth Coordination Module — fonctionnent de concert pour automatiser le développement de malwares, la reconnaissance, l’ingénierie sociale et les attaques coordonnées sans supervision extérieure. Il ne s’agit pas d’un simple LLM ; c’est une IA agentique, marquant une évolution logique et préoccupante dans l’arsenal des cybercriminels.
Le phishing dopé à l’IA mine la confiance envers les marques
L’impact de ces évolutions en IA sur la protection des marques est particulièrement aigu dans le domaine des attaques de phishing. Les acteurs malveillants utilisent déjà des techniques d’injection de requêtes pour manipuler des LLM légitimes afin de générer du contenu de phishing convaincant. Cela signifie que les attaques de phishing sont désormais lancées plus rapidement, plus fréquemment, et avec un degré de personnalisation alarmant.
En 2024, pas moins de 67,4 % des incidents de phishing dans le monde impliquaient des techniques liées à l’IA, avec le secteur financier parmi les principales cibles. Il ne s’agit pas seulement d’un problème de volume, mais de sophistication. L’IA permet aux attaquants de créer des campagnes extrêmement personnalisées et convaincantes, y compris le spear-phishing, les deepfakes et des techniques avancées d’ingénierie sociale.
Des mails désormais irréprochables, rapides et ciblés
L’un des effets les plus immédiats concerne les mails de phishing eux-mêmes. Fini le temps où les fautes grammaticales ou d’orthographe trahissaient une arnaque. Les mails générés par IA sont souvent indiscernables des communications d’entreprise légitimes. Cette rapidité de création et de personnalisation est fortement amplifiée par les LLM, permettant de lancer et de faire évoluer les attaques très rapidement. Une étude de 2021 a montré que même avec une IA plus ancienne, les mails de spear-phishing générés par IA obtenaient un taux de clic de 60 %. Une étude plus récente de 2024 a révélé que les mails de phishing entièrement générés par IA atteignaient un taux de clic de 54 % dans une étude sur des sujets humains, soit une augmentation de 350 % par rapport aux mails de phishing arbitraires.
Un exemple réel glaçant est survenu en février 2024, lorsque la filiale hongroise d’une entreprise de distribution européenne a perdu 15,5 millions d’euros dans une attaque de type BEC (compromission de mail professionnel). Les attaquants ont utilisé une IA générative pour créer des mails reproduisant parfaitement le ton, le style et le format des correspondances d’entreprise précédentes, visant le personnel financier avec des demandes urgentes de virements. Ces mails étaient sans fautes et contextuellement exacts, contournant les filtres traditionnels et soulignant l’efficacité des attaques BEC renforcées par l’IA.
Les deepfakes deviennent un moyen d’usurpation d’identité
Au-delà des mails sophistiqués, les deepfakes ajoutent une toute nouvelle dimension au phishing. Ces contenus synthétiques, créés par apprentissage profond, permettent de fabriquer des images, des voix ou des vidéos réalistes pour usurper l’identité d’individus, simuler des messages vocaux ou des appels vidéo. Ce qui relevait autrefois des experts est désormais à la portée de tous. Deloitte rapporte que 25,9 % des cadres ont déjà été confrontés à un ou plusieurs incidents impliquant des deepfakes.
Exemples concrets :
- Émirats arabes unis (2020) : un directeur de banque a perdu environ 35 millions de dollars après avoir été victime d’une attaque de phishing assistée par IA. Les attaquants ont utilisé une technologie vocale deepfake pour imiter la voix d’un directeur d’entreprise, clonée à partir d’enregistrements publics. Des mails usurpés du « directeur » et d’un « avocat » ont renforcé la légitimité.
- Hong Kong (janvier 2024) : une entreprise multinationale a subi une perte de 25 millions de dollars en raison d’une arnaque par vidéo deepfake. Les attaquants ont utilisé des vidéos deepfake générées par IA pour imiter le directeur financier et d’autres employés lors d’un appel en visioconférence, exploitant la dynamique de groupe pour lever les doutes d’un employé de la finance.
- Royaume-Uni (mai 2024) : dans une tentative infructueuse mais inquiétante, des attaquants ont utilisé un faux compte WhatsApp, une imitation vocale générée par IA, et des extraits de YouTube manipulés. Ils ont tenté d’usurper l’identité d’un PDG lors d’une réunion Microsoft Teams afin d’inciter un responsable à créer une nouvelle entité juridique pour collecter des fonds et des informations personnelles.
L’analyse IA amplifie la reconnaissance préalable
Le rôle de l’IA dans le phishing ne se limite pas à la génération de contenu et aux deepfakes. L’analyse de données par IA permet aux attaquants de collecter et d’analyser d’immenses volumes de données issues des réseaux sociaux, des registres publics et des bases de données piratées, et ce, à une vitesse sans précédent. Cela facilite des campagnes de spear-phishing hautement ciblées, adaptées à des individus ou organisations spécifiques.
L’IA peut prédire les comportements des victimes et optimiser le moment de l’attaque. Par exemple, elle peut analyser les schémas de communication d’une organisation pour déterminer le moment idéal pour envoyer un courriel de phishing imitant le ton et le style du PDG, augmentant considérablement les chances de réussite.
À mesure que les modèles d’IA deviennent plus puissants, les acteurs malveillants bénéficient eux aussi d’une montée en puissance pour la reconnaissance ciblée. Les fonctions avancées de modèles comme Grok 3 et ChatGPT 4.0 permettent une analyse rapide des informations publiques. Cela signifie que l’IA peut anticiper les opportunités à forte valeur, concevant des campagnes qui exploitent les tendances avant que les organisations puissent mettre en place des défenses.
Un exemple réel en Inde au début de 2024 : une grande institution financière a été la cible d’une campagne de phishing assistée par IA, compromettant des données client sensibles. Les attaquants ont utilisé le traitement du langage naturel et une IA générative pour concevoir des mails de spear-phishing imitant le style rédactionnel du PDG, reprenant le format officiel et la terminologie issue de LinkedIn et des sites d’entreprise. Ces mails redirigeaient les salariés vers un faux portail interne, donnant aux attaquants l’accès aux bases de données financières. En réalité, les attaques de phishing financier ont augmenté de 175 % en Inde au premier semestre 2024, avec un rôle majeur joué par l’IA.
Nous assistons ainsi à une évolution majeure où l’intelligence artificielle (IA) n’est plus seulement un outil de défense, mais une arme redoutable.
