Depuis plus d’un an maintenant, l’intelligence artificielle (IA) est au centre de toutes les discussions. Grâce à l’essor de ChatGPT et de l’IA générative, elle est devenue accessible au grand public. Désormais, nous pouvons tous générer des voix, des textes et des images d’une qualité et d’une cohérence étonnantes, pour le meilleur… comme pour le pire. Cet article explore comment les fraudeurs ont su investir le domaine de l’IA générative.
ChatGPT : le nouveau couteau suisse des fraudeurs ?
Alors que la fraude ne cesse d’augmenter, ChatGPT ouvre la porte à de nouvelles formes de fraude, notamment en facilitant la création d’e-mails de phishing sophistiqués.
Le phishing n’est pas une pratique nouvelle. Nous avons tous déjà été confrontés à cette technique de fraude bien connue qui vise à nous tromper par le biais de communications, afin d’obtenir des informations sensibles ou de nous faire cliquer sur des liens malveillants. Que ce soit dans le domaine personnel ou professionnel, comme les fraudes au président, nous avons souvent la chance de pouvoir reconnaître ces e-mails frauduleux, grâce à leur manque de contexte ou à leurs fautes d’orthographe.
Malheureusement, l’avènement de ChatGPT a le potentiel de transformer cette pratique en la rendant plus accessible et plus redoutable. Si bien que les renseignements britanniques (NCSC) ont récemment pris la parole pour nous alerter :
“D’ici 2025, l’IA générative et LLM (Large Language Models) rendront difficile pour tout le monde, quel que soit son niveau de compréhension de la cybersécurité, d’évaluer si un courriel ou une demande de réinitialisation de mot de passe est authentique, ou d’identifier les tentatives de phishing, de spoofing ou d’ingénierie sociale.”
Reconnaissance automatisée en open-source
Dans un premier temps, les fraudeurs peuvent désormais utiliser des outils d’IA générative pour collecter efficacement des informations publiques sur tel ou tel utilisateur. Les réseaux sociaux sont de véritables mines d’informations personnelles et professionnelles qui pourront être exploitées par la suite.
Une fois ces informations récoltées, les fraudeurs augmentent leurs chances de manipulation en demandant à ChatGPT d’adapter son ton et son texte en conséquence. Par exemple, en analysant les interactions publiques d’un utilisateur sur les réseaux sociaux, un modèle d’IA peut générer un message qui non seulement semble provenir d’une source légitime mais est également truffé de références et de nuances qui renforcent sa crédibilité.
Industrialisation de phishings crédibles
Non seulement ChatGPT peut adapter son ton aux informations récoltées préalablement, mais il a la capacité d’industrialiser cette pratique. L’IA se met au service des fraudeurs pour produire en masse des e-mails de phishing personnalisés, convaincants, imitant à la perfection le style, le ton et la signature de proches, de collègues, de dirigeants de votre entreprise.
Tout compte fait, le processus est alarmant de simplicité : après avoir défini une cible, les acteurs malveillants alimentent ChatGPT avec des directives spécifiques (prompts), générant un contenu crédible et pourtant fondamentalement malveillant.
Quels recours sont encore possibles ?
Face à cette menace grandissante, les entreprises et les utilisateurs doivent adopter une attitude proactive pour se protéger contre le phishing. Bien que certains dispositifs soient capables d’évaluer plus ou moins précisément si des textes sont générés par l’IA (nous pensons notamment à Copyleaks), il devient de plus en plus difficile de distinguer les textes humains de ceux produits par les LLM. À ce jour, la meilleure défense reste la sensibilisation et la formation continue des employés et des citoyens aux nouvelles formes de fraude, qui sont exacerbées par l’IA.
ChatGPT, tout comme l’intelligence artificielle en général, est un outil. Un outil qui peut être utilisé à des fins vertueuses comme malveillantes pour la société. Pour naviguer dans cette nouvelle ère, les entreprises, les régulateurs et la société dans son ensemble doivent travailler ensemble pour s’assurer que les progrès de l’IA mènent à un avenir où l’innovation, le respect de la vie privée, l’éthique et la sécurité vont de pair, protégeant ainsi les individus tout en favorisant le progrès technologique.