De l'arnaque très médiatisée d'une Française qui a versé 830.000 euros à un faux Brad Pitt aux collectes de dons fictives pour les victimes des incendies de Los Angeles, ces dernières semaines ont montré que "particuliers ou entreprises, on est tous des cibles pour les cyberattaques", selon Arnaud Lemaire, de la société américaine de cybersécurité F5.
En France, plus de 130.000 escroqueries en ligne ont été enregistrées en 2023 selon les chiffres du ministère de l'Intérieur, qui note une hausse de 8 % par an en moyenne des infractions "numériques" relevant des atteintes aux biens depuis 2016.
L'une des formes les plus connues d'arnaque en ligne est le "phishing" (hameçonnage en français), c'est-à-dire l'envoi d'emails ou de messages SMS sous de faux prétextes incitant les utilisateurs à cliquer sur un lien frauduleux et à partager des données personnelles.
Des robots conversationnels permettent aux attaquants de gagner du temps et de créer de faux messages plus élaborés, pointe Arnaud Lemaire.
Si un arnaqueur qui ne maitrise pas les subtilités d'une langue se sert d'une IA générative pour rédiger son mail, "il va faire disparaître complètement des indices" comme des fautes d'orthographe et de conjugaison, déplore l'expert.
DeepSeek : le "ChatGPT chinois" qui agite la Silicon Valley
Faux patron
Mais les générateurs de texte ne sont que la partie émergée de cet iceberg.
Des modèles d'IA peuvent "tirer parti de toutes les données qui ont été dérobées ces dernières années pour automatiser la création d'escroqueries hautement personnalisées", redoute Steve Grobman, directeur technique de l'éditeur de logiciels de sécurité McAfee.
"Il y a quelques années, cela n'aurait pas été possible sans mobiliser une armée" de petites mains.
Plutôt que de se contenter de petits gains rapides, les attaquants cherchent souvent à gagner la confiance de certaines employés au sein des entreprises ciblées.
Si un salarié est piégé avec succès, les criminels "peuvent attendre que cette personne devienne très influente ou qu'il y ait une bonne occasion pour extorquer de l'argent" avant d'exploiter cette connexion, affirme Martin Kraemer, de la société américaine de formation en cybersécurité KnowBe4.
Un danger mis en évidence en février 2024, lorsque des escrocs ont soutiré 26 millions d'euros à une multinationale de Hong Kong.
Les autorités ont affirmé qu'un employé du service financier croyait être en vidéoconférence avec le PDG de l'entreprise et d'autres employés de la société, en réalité tous des "deepfakes", des images vidéos modifiées par IA.
"La dernière génération de deepfakes est arrivée à un point où quasiment personne n'est capable de faire la différence entre une image réelle et une image générée par IA", alerte Steve Grobman, qui affirme qu'un chercheur de McAfee a pu remplacer son visage par celui de la star hollywoodienne Tom Cruise pour moins de 5 euros.
5 choses à savoir sur DeepSeek
"Mot-clé"
Pour s'assurer de la réalité de son interlocuteur en ligne, "c'est un peu comme le BDSM, le bondage, il faut avoir un mot-clé", s'amuse Arnaud Lemaire.
Autre astuce : demander à un interlocuteur vidéo de faire pivoter sa caméra pour montre son environnement, ce que l'IA a - pour l'instant - du mal à recréer.
L'escroquerie en ligne est devenue une industrie si lucrative que "comme pour d'autres secteurs, il existe des chaînes d'approvisionnement et tout un écosystème pour la soutenir", observe l'expert de McAfee.
Malgré plusieurs opérations de police ayant mis à mal certaines filières comme le réseau Lockbit, un des principaux groupes de cybercriminels dans le monde démantelé début 2024, ce type de cybercriminalité se structure et se professionnalise.
Mais le développement de ces nouveaux outils d'IA n'inquiète pas outre mesure Martin Kraemer.
"Nous pouvons utiliser l'IA pour l'attaque comme pour la défense", explique le spécialiste de KnowBe4.
Et de rappeler que la principale protection d'un internaute face à ces arnaques reste avant tout sa vigilance.
En Corée du Sud, des manifestations contre les deepfakes pornographiques après un scandale touchant plusieurs écoles
