Un nouveau chapitre dans la cybercriminalité : Comment l’IA alimente la sophistication du phishing

Vous souvenez-vous lorsque les e-mails de phishing étaient faciles à repérer ? Les signes révélateurs étaient partout : un anglais écorché, des liens suspects et des demandes extravagantes de soi-disant princes de pays lointains. Ce temps est révolu.

Nous sommes désormais confrontés à un paysage de menaces fondamentalement différent, où l'IA a permis aux cybercriminels de devenir des adversaires sophistiqués, capables de lancer des attaques dont la qualité rivalise avec celle des communications professionnelles légitimes.

Les chiffres sont stupéfiants : les campagnes de phishing alimentées par l'IA atteignent un taux de réussite de 54 %, contre seulement 12 % pour les attaques traditionnelles, selon une étude de la Harvard Kennedy School. Plus alarmant encore, 94 % des entreprises ont été victimes d'attaques de phishing en 2024, contre 92 % l'année précédente.

Les attaques de phishing ont évolué pour devenir des armes de calibre professionnel, et l'IA mène la charge. Nous sommes entrés dans une nouvelle ère, où les règles de la cybersécurité ont été réécrites et où les défenses traditionnelles s'effondrent sous le poids de la précision alimentée par l'IA.

Depuis le lancement de ChatGPT en novembre 2022, les entreprises ont enregistré une augmentation de 4 151 % du volume de phishing, selon le rapport « State of Phishing 2024 » de SlashNext.

Cependant, ce n'est pas seulement la quantité qui est alarmante, mais également la qualité. Aujourd'hui, 67,4 % des attaques utilisent une forme d'IA pour générer une grammaire parfaite et analyser les modèles de communication en entreprise, transformant fondamentalement notre perception des menaces de phishing. Cela est possible grâce à de grands modèles de langage (LLM) qui peuvent générer du contenu professionnel, allant même jusqu'à analyser les communications internes et imiter le style rédactionnel des dirigeants. 

Le résultat ? Les employés ne sont plus dupés par négligence : ils sont victimes de phishing, car les attaques semblent plus crédibles et sont plus difficiles à détecter.

L'économie souterraine est devenue industrialisée, les plateformes de cybercriminalité alimentées par l'IA offrant des capacités d'attaque sophistiquées sous forme de services par abonnement. Des platformes telles que WormGPT et FraudGPT ont transformé le piratage en une économie de services, qui est une économie abordable et accessible. FraudGPT commence à seulement 200 $ par mois.

Les cybercriminels continuent de se concentrer sur l'exploitation des systèmes d'IA existants, tels que ChatGPT et Claude, par le biais de techniques de jailbreak, de wrappers et d'astuces d'ingénierie d'invite.

Ce ne sont pas des outils amateur. WormGPT a produit des e-mails qu'un chercheur en sécurité a décrits comme « remarquablement persuasifs et stratégiquement intelligents. » Et démontrant l'évolutivité de l'IA en tant que service pour la cybercriminalité, FraudGPT a enregistré plus de 3 000 ventes confirmées en seulement quelques mois.

Loin d'être l'apanage des seuls acteurs malveillants talentueux, ces outils éliminent le besoin d'une expertise technique, mettant ainsi des capacités de tromperie de calibre entreprise à la portée de toute personne possédant un portefeuille Bitcoin.

Les attaques alimentées par l'IA ne se limitent plus à l'e-mail, s'étendant à des canaux que nous considérions autrefois comme sécurisés. Les attaques de phishing vocal (vishing) ont augmenté de 442 % entre le premier et le deuxième semestre de 2024, selon le « 2025 Global Threat Report » de CrowdStrike. Les attaques ont été activées par une technologie de clonage vocal qui ne nécessite que trois secondes d'audio pour produire une correspondance vocale à 85 %, selon une étude de McAfee. La sophistication est à couper le souffle et terrifiante.

Dans un cas, des acteurs malveillants ont créé une visioconférence deepfake qui était tellement convaincante qu'ils ont réussi à voler 25 millions de dollars à une multinationale financière. La visioconférence mettait en scène plusieurs dirigeants générés par IA qui semblaient extrêmement réels.

Comme preuve que les hauts responsables gouvernementaux ne sont pas à l'abri, le FBI a confirmé que depuis avril 2025, des pirates ont utilisé des messages vocaux générés par IA pour usurper l'identité de hauts fonctionnaires américains dans le cadre d'opérations de fraude sophistiquées.

L'une des capacités les plus dangereuses de l'IA est la création d'attaques polymorphes qui évoluent plus rapidement que les défenses ne peuvent s'adapter. En générant des variations uniques de logiciels malveillants pour chaque cible, ces attaques pilotées par l'IA rendent largement obsolètes les méthodes de détection basées sur des signatures, qui s'appuient sur des modèles connus.

Les résultats parlent d'eux-mêmes : les e-mails de phishing générés par l'IA obtiennent des taux d'ouverture de 78 % et incitent les cibles à agir en moins de 21 secondes. Pendant ce temps, les outils d'IA automatisés aident les pirates à rédiger des e-mails de phishing 40 % plus rapidement que les méthodes traditionnelles.

Des recherches comparant les attaques générées par l'IA à celles conçues par des experts humains n'ont révélé aucune différence significative en matière de qualité, mais les attaques générées par l'IA offrent une plus grande vitesse, une personnalisation et la possibilité d'une itération infinie.

L'IA moderne ne se contente pas de créer des e-mails convaincants ; elle instrumentalise la psychologie humaine. Ces systèmes peuvent analyser les profils de médias sociaux, les communications d'entreprise et la terminologie d'un secteur pour élaborer des attaques qui sont contextuellement crédibles et psychologiquement manipulatrices.

Les acteurs malveillants sont capables d'exploiter le comportement en déclenchant des réponses émotionnelles qui contournent la prise de décision rationnelle.

Lorsqu'un message « urgent » semble provenir de votre PDG pendant une crise, le réflexe de survie des employés prend le dessus sur leur formation. Ce ne sont plus de simples escroqueries, ce sont des campagnes de guerre comportementale qui font de chaque entreprise une victime potentielle, quels que soient le niveau de sensibilisation à la sécurité ou les défenses techniques.

Chaque entreprise, quelle que soit sa taille ou sa maturité, est vulnérable aux attaques de phishing conçues avec précision qui ciblent d'abord les humains et ensuite les systèmes. Voici ce que font les équipes de sécurité avant-gardistes :

La question n'est plus de savoir si votre entreprise sera ciblée, mais si vos défenses sont à la hauteur de la sophistication des menaces alimentées par l'IA qui redéfinissent la nature même de la cybercriminalité.