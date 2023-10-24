Sécurité

IA vs tromperie humaine : décryptage de la nouvelle ère des tactiques de phishing

Image d’un cerveau cubique multicolore sur fond rose.

Stephanie Carruthers

Chief People Hacker for IBM X-Force Red

Les attaquants semblent innover presque aussi vite que la technologie évolue. De jour en jour, technologies et menaces progressent à pas de géant. Alors que nous entrons dans l’ère de l’IA, les machines ne se contentent plus d’imiter le comportement humain ; elles imprègnent presque toutes les facettes de nos vies. Pourtant, malgré l’inquiétude croissante quant aux implications de l’IA, l’ampleur réelle de son détournement potentiel par les attaquants reste largement méconnue.

Pour mieux comprendre comment les attaquants peuvent tirer parti de l’IA générative, nous avons mené un projet de recherche éclairant une question cruciale : les modèles d’IA générative actuels possèdent-ils les mêmes capacités de tromperie que l’esprit humain ?

Imaginez un scénario où l’IA affronte l’humain dans une bataille de phishing. L’objectif ? Déterminer quel concurrent peut obtenir le meilleur taux de clics lors d’une simulation de phishing ciblant des entreprises. En tant que rédacteur professionnel d’e-mails de phishing, j’avais hâte de connaître la réponse.

Avec seulement cinq prompts simples, nous avons réussi à amener un modèle d’IA générative à concevoir des e-mails de phishing très convaincants en cinq minutes chrono, soit le temps qu’il me faut pour préparer un café. Il faut généralement environ 16 heures à mon équipe pour créer un e-mail de phishing, sans compter la configuration de l’infrastructure. Les attaquants peuvent donc gagner près de deux jours de travail en utilisant des modèles d’IA générative. Et le phishing généré par l’IA était si convaincant qu’il a failli surpasser celui conçu par des ingénieurs sociaux expérimentés, mais le simple fait qu’il fasse jeu égal constitue une évolution majeure.

Dans cet article, nous expliquons en détail comment les prompts de l’IA ont été créés, comment le test a été mené et ce que cela signifie pour les attaques d’ingénierie sociale d’aujourd’hui et de demain.

Première manche : l’essor des machines

D’un côté, nous avions des e-mails de phishing générés par l’IA avec des scénarios très astucieux et convaincants.

Création des prompts. Grâce à un processus systématique d’expérimentation et d’amélioration, une collection de seulement cinq prompts a été conçue pour demander à ChatGPT de générer des emails de phishing adaptés à des secteurs spécifiques.

Pour commencer, nous avons demandé à ChatGPT de détailler les principaux sujets de préoccupation des employés de ces secteurs. Après avoir accordé la priorité au secteur et aux préoccupations des employés, nous avons demandé à ChatGPT de faire des choix stratégiques en utilisant à la fois des techniques d’ingénierie sociale et de marketing dans les e-mails. Ces choix visaient à optimiser la probabilité qu’un plus grand nombre d’employés cliquent sur un lien dans l’e-mail lui-même. Ensuite, un prompt a demandé à ChatGPT qui devait être l’expéditeur (par exemple, une personne interne à l’entreprise, un fournisseur, une organisation externe, etc.). Enfin, nous avons demandé à ChatGPT d’ajouter les informations suivantes pour créer l’e-mail de phishing :

  1. Principaux sujets de préoccupation pour les employés du secteur de la santé : avancement professionnel, stabilité de l’emploi, travail épanouissant et plus encore
  2. Techniques d’ingénierie sociale à utiliser : confiance, autorité, preuve sociale
  3. Techniques marketing à utiliser : personnalisation, optimisation mobile, appel à l’action
  4. Personne ou entreprise dont l’identité doit être usurpée : responsable interne des ressources humaines
  5. Génération d’e-mail : compte tenu de toutes les informations énumérées ci-dessus, ChatGPT a généré l’e-mail masqué ci-dessous, qui a ensuite été envoyé par mon équipe à plus de 800 employés.
Image montrant le fonctionnement des tactiques de phishing

J’ai près d’une décennie d’expérience en ingénierie sociale, j’ai créé des centaines d’e-mails de phishing et même moi, j’ai trouvé que les e-mails de phishing générés par l’IA étaient assez convaincants. En fait, trois entreprises avaient initialement accepté de participer à cette recherche, et deux se sont complètement désistées après avoir examiné les deux e-mails de phishing, car elles s’attendaient à un taux de réussite élevé. Comme l’indiquaient les prompts, l’entreprise qui a participé à cette recherche appartenait au secteur des soins de santé, qui est actuellement l’un des secteurs les plus ciblés.

Gains de productivité pour les pirates informatiques. Alors que la rédaction d’un e-mail de phishing prend généralement environ 16 heures à mon équipe, l’e-mail de phishing basé sur l’IA a été généré en seulement cinq minutes avec seulement cinq prompts.

Deuxième manche : l'aspect humain

Dans l’autre coin, nous avions des spécialistes en ingénierie sociale chevronnés de X-Force Red.

Armés de créativité et d’un soupçon de psychologie, ces ingénieurs sociaux ont créé des e-mails de phishing qui ont trouvé un écho personnel auprès de leurs cibles. Le facteur humain a ajouté un air d’authenticité qu’il est souvent difficile de reproduire.

Étape 1 : OSINT – Notre approche du phishing commence invariablement par la phase initiale d’acquisition des renseignements open source (OSINT pour « Open-Source Intelligence »). L’OSINT consiste à récupérer des informations accessibles au public, qui font ensuite l’objet d’une analyse rigoureuse et servent de ressource fondamentale dans la formulation des campagnes d’ingénierie sociale. Les principales sources de données pour nos efforts OSINT comprennent des plateformes telles que LinkedIn, le blog officiel de l’entreprise, Glassdoor, et une multitude d’autres sources.

Au cours de nos activités d'OSINT, nous avons réussi à découvrir un article de blog détaillant le lancement récent d’un programme de bien-être pour les employés, coïncidant avec l’achèvement de plusieurs projets importants. Il est encourageant de constater que ce programme a reçu des témoignages favorables de la part d’employés sur Glassdoor, attestant de son efficacité et de la satisfaction des employés. De plus, nous avons identifié, via LinkedIn, une personne chargée de gérer le programme.

Étape 2 : Création de l’e-mail – En utilisant les données recueillies lors de notre phase OSINT, nous avons entamé le processus de construction méticuleuse de notre e-mail de phishing. Comme étape fondamentale, il était impératif que nous nous fassions passer pour une personne ayant l’autorité nécessaire pour traiter le sujet de manière efficace. Pour renforcer l’aura d’authenticité et de familiarité, nous avons incorporé un lien légitime vers un projet récemment achevé.

Pour avoir un impact convaincant, nous avons intégré stratégiquement les éléments liés à l’urgence perçue en introduisant des « contraintes de temps artificielles ». Nous avons fait comprendre aux destinataires que l’enquête en question ne comprenait que « cinq brèves questions » et leur avons assuré qu’y répondre ne prendrait pas plus de « quelques minutes » de leur temps précieux, avec une date limite : « ce vendredi ». Ce cadrage délibéré a permis de souligner le peu d’impact sur leur emploi du temps, renforçant ainsi la nature non intrusive de notre approche.

L’utilisation d’une enquête comme prétexte de phishing est généralement risquée, car elle est souvent considérée comme un signal d’alarme ou simplement ignorée. Toutefois, compte tenu des données que nous avons découvertes, nous avons décidé que les avantages potentiels pourraient l’emporter sur les risques associés.

L’e-mail de phishing masqué suivant a été envoyé à plus de 800 employés d’une organisation de santé d’envergure internationale :

Image montrant le fonctionnement des tactiques de phishing sous forme de sondage

Le champion : l’humain l’emporte, mais de justesse !

Après une série intensive de tests A/B, les résultats étaient clairs : les humains sont sortis vainqueurs, mais de justesse.

Graphique montrant les performances des humains et de l’IA en matière de phishing

Bien que les e-mails de phishing rédigés par des humains aient réussi à surpasser l’IA, la compétition a été extrêmement serrée. Voici pourquoi :

  • Intelligence émotionnelle : les humains comprennent les émotions d’une manière dont l’IA ne peut que rêver. Nous pouvons tisser des récits qui jouent sur la corde sensible et semblent plus réalistes, rendant les destinataires plus enclins à cliquer sur un lien malveillant. Par exemple, les humains ont choisi un exemple légitime au sein de l’organisation, tandis que l’IA a choisi un sujet général, ce qui a rendu le phishing généré par les humains plus crédible.
  • Personnalisation : en plus d’incorporer le nom du destinataire dans l’introduction de l’e-mail, nous avons également fourni une référence à une organisation légitime, offrant des avantages tangibles à son personnel.
  • Ligne d’objet courte et concise : l’objet de l’e-mail de phishing généré par un humain était court et pertinent (« Enquête sur le bien-être des employés »), tandis que celui généré par l’IA était extrêmement long (« Déverrouillez votre avenir : possibilités d’avancement limitées au sein de l’entreprise X »), risquant d’éveiller les soupçons avant même que les employés n’ouvrent l’e-mail.

Non seulement le phishing généré par l’IA a perdu face aux humains, mais il a également été signalé comme suspect à une fréquence plus élevée.

Graphique montrant les performances des humains et de l’IA en matière de phishing

L’essentiel à retenir : un aperçu de l’avenir

Bien que X-Force n’ait pas été témoin d’une utilisation généralisée de l’IA générative dans les campagnes actuelles, des outils tels que WormGPT, qui ont été conçus pour être des LLM non restreints ou semi-restreints, ont été mis en vente sur divers forums proposant des fonctionnalités de phishing, ce qui montre que les attaquants testent l’utilisation de l’IA dans les campagnes de phishing. Bien que même des versions restreintes des modèles d’IA générative puissent être piégées pour générer du phishing via de simples prompts, ces versions non restreintes pourraient offrir des moyens plus efficaces pour les attaquants de déployer à grande échelle des e-mails sophistiqués à l’avenir.

Les humains ont peut-être gagné de justesse ce match, mais l’IA ne cesse de s’améliorer. À mesure que la technologie progresse, nous ne pouvons que nous attendre à ce que l’IA devienne plus sophistiquée et, potentiellement, qu’elle surpasse un jour les humains. Comme nous le savons, les attaquants s’adaptent et innovent en permanence. Cette année encore, nous avons vu des escrocs utiliser de plus en plus souvent des clones vocaux générés par l’IA pour inciter les gens à envoyer de l’argent, des cartes-cadeaux ou à divulguer des informations sensibles.

Bien que les humains aient encore le dessus en matière de manipulation émotionnelle et de rédaction d’e-mails convaincants, l’émergence de l’IA dans le domaine du phishing marque un tournant dans les attaques d’ingénierie sociale. Voici cinq recommandations clés pour aider les entreprises et les consommateurs à rester préparés :

  1. En cas de doute, appelez l’expéditeur : si vous vous demandez si un e-mail est légitime, prenez le téléphone et vérifiez. Pensez à choisir un mot de sécurité pour vos amis proches et les membres de votre famille, que vous pouvez utiliser en cas de vishing ou d’escroquerie téléphonique générée par l’IA.
  2. Abandonnez les idées reçues sur la grammaire : déconstruisez le mythe selon lequel les e-mails d’hameçonnage sont truffés de fautes de grammaire et d’orthographe. Les tentatives d’hameçonnage pilotées par l’IA sont de plus en plus sophistiquées et font souvent preuve d’exactitude grammaticale. C’est pourquoi il est impératif de rééduquer nos employés et de souligner que les erreurs grammaticales ne sont plus le principal signal d’alarme. Nous devrions plutôt les entraîner à être vigilants quant à la longueur et à la complexité du contenu des e-mails. Les e-mails plus longs, qui caractérisent souvent les textes générés par l’IA, peuvent être un signe d’alerte.
  3. Repenser les programmes d’ingénierie sociale : il s’agit notamment d’intégrer des techniques telles que le vishing dans les programmes de formation. Cette technique est simple à exécuter et souvent très efficace. Un rapport de X-Force a montré que les campagnes de phishing ciblées qui ajoutent des appels téléphoniques sont trois fois plus efficaces que celles qui n’en ajoutent pas.
  4. Renforcer les contrôles de gestion des identités et des accès : les systèmes avancés de gestion des identités et des accès peuvent aider à valider qui accède à quelles données, si ces personnes disposent des droits appropriés et si elles sont bien celles qu’elles prétendent être.
  5. Adaptez-vous et innovez en permanence : l’évolution rapide de l’IA signifie que les cybercriminels continueront à affiner leurs tactiques. Nous devons adopter ce même état d’esprit d’adaptation et d’innovation permanentes. Il est essentiel de mettre à jour régulièrement les TTP internes, les systèmes de détection des menaces et les documents de formation des employés pour garder une longueur d’avance sur les acteurs malveillants.

L’émergence de l’IA dans les attaques de phishing nous pousse à réévaluer nos approches en matière de cybersécurité. En adoptant ces recommandations et en restant vigilants face à l’évolution des menaces, nous pouvons renforcer nos défenses, protéger nos entreprises et assurer la sécurité de nos données et de nos collaborateurs dans l’environnement numérique actuel.

Pour plus d’informations sur la recherche en sécurité de X-Force, les renseignements sur les menaces et les analyses menées par des hackers, consultez le X-Force Research Hub.

Pour en savoir plus sur la manière dont IBM peut aider les entreprises à accélérer leur parcours en matière d’IA en toute sécurité, rendez-vous ici.

