Les attaques de social engineering évoluent à une vitesse inquiétante avec l’avènement de l’intelligence artificielle. Jadis fondées sur de simples ruses psychologiques, ces cybermenaces exploitent désormais des outils avancés comme les deepfakes et la clonage vocal pour tromper employés et dirigeants. Ces manipulations de l’identité remettent en question la capacité des entreprises à détecter et contrer les attaques par usurpation d’identité. Décryptons ces nouvelles méthodes et explorons les réponses possibles pour se protéger efficacement.
Usurpation d’identité : l’évolution des attaques
Les anciennes méthodes : masques en silicone
Dans une affaire tristement célèbre, deux fraudeurs se sont fait passer pour un ministre français en utilisant un masque en silicone. Leur mise en scène comprenait un décor imitant son bureau officiel et des éléments crédibles pour convaincre leurs interlocuteurs. Résultat : des dizaines de victimes et plus de 55 millions d’euros escroqués.
Les nouvelles méthodes : deepfakes vidéo
L’avènement de l’IA générative permet aux cybercriminels de créer des deepfakes en temps réel. Un exemple marquant a eu lieu à Hong Kong, où des attaquants ont conçu une fausse vidéo d’un directeur financier afin de mener une fraude bancaire à hauteur de 25 millions de dollars. En imitant sa voix et son apparence, ils ont convaincu un employé d’autoriser un transfert vers leur compte frauduleux.
Le vishing : un phishing vocal dopé à l’IA
Les appels frauduleux traditionnels
Le vishing, ou hameçonnage vocal, repose sur la persuasion téléphonique. Un attaquant se fait passer pour un cadre de l’entreprise ou un représentant d’un organisme officiel, intensifiant l’urgence pour inciter la victime à divulguer ses informations sensibles. En 2022, la perte médiane associée à cette fraude s’élevait à 1400 dollars par victime.
L’IA et le clonage vocal
Grâce aux algorithmes de clonage vocal, les cybercriminels n’ont besoin que de quelques secondes d’enregistrement audio pour reproduire la voix d’un individu. Une expérience glaçante a vu une mère recevoir un appel déchirant où une voix imitant parfaitement celle de sa fille prétendait avoir été kidnappée. L’escroc exigeait une rançon immédiate de 50 000 dollars.
Phishing par email : des messages trompeurs plus réalistes
Anciennes techniques : spam et erreurs manifestes
Les emails de phishing basiques s’appuient sur des sollicitations génériques, des fautes de grammaire et des demandes urgentes. Bien que leur efficacité ait diminué grâce aux filtres anti-spam, le phishing reste la cybermenace la plus signalée, avec près de 300 000 plaintes recensées en 2023 par le FBI.
Nouvelles techniques : attaques ciblées et automatisation
Les cybercriminels utilisent désormais des modèles de langage avancés pour concevoir des mails impeccables et adaptés à leurs cibles. Cette précision facilite les attaques de spear phishing, où l’attaquant personnalise son approche pour renforcer sa crédibilité. De plus, l’automatisation réduit drastiquement le coût des campagnes frauduleuses tout en multipliant leur portée.
Réinventer la cybersécurité face aux nouvelles menaces
Les cyberattaques tirent parti de l’ingénierie sociale pour manipuler les émotions : confiance en un collègue, respect envers un supérieur ou peur face à une urgence apparente. Avec les deepfakes et la clonage vocal, il devient plus difficile de distinguer le vrai du faux.
Pour contrer ces menaces, CyberCare propose des formations en cybersécurité basées sur des simulations réalistes d’attaques d’ingénierie sociale, permettant aux employés de se préparer à ces nouvelles méthodes de fraude.
