Comment l’IA générative dope le phishing
L'IA générative a discrètement supprimé les deux principaux verrous du phishing : rédiger un texte crédible et le faire à grande échelle. Ce qui exigeait autrefois un rédacteur humain et des heures de recherche se produit désormais en quelques secondes, dans n'importe quelle langue, et sur mesure pour une cible précise.
Ce qui a réellement changé
Pendant des années, les signaux d'alerte d'un email de phishing étaient linguistiques : fautes de grammaire, tournures étranges, formules impersonnelles. Les grands modèles de langage effacent ces trois indices. Un attaquant génère aujourd'hui un message impeccable dans des dizaines de langues, imite le ton d'une entreprise et adapte le registre selon qu'il s'adresse à un directeur financier ou à un technicien du support.
Le vrai basculement, c'est le coût par message crédible. Quand fabriquer un leurre sur mesure ne coûte presque rien, l'attaquant passe du ratissage large à un ciblage massif et de haute qualité.
Modes opératoires concrets
- Reconnaissance à grande échelle. Les LLM synthétisent l'historique LinkedIn, les communiqués récents et l'activité GitHub d'une cible en un prétexte d'un paragraphe.
- Personnalisation du spear-phishing. À partir d'un nom, d'un poste et d'un employeur, le modèle rédige un message évoquant un projet interne plausible ou une réorganisation récente.
- Fraude au président (BEC). Les modèles reproduisent le style d'écriture d'un dirigeant à partir de quelques exemples publics, produisant des demandes de virement d'apparence authentique.
- Campagnes multilingues. Un même gabarit est localisé en 20 langues avec des idiomes corrects, ce qui neutralise « l'anglais était bancal » comme indice.
- Relance conversationnelle. L'attaquant branche un LLM derrière une boîte mail pour traiter les réponses automatiquement et entretenir un échange crédible sur plusieurs jours.
Au-delà de l'email : voix et vidéo
La menace n'est plus limitée au texte.
- Le clonage vocal ne nécessite que quelques secondes d'audio de référence (un webinaire, une conférence de résultats, un message vocal) pour synthétiser un appel de vishing convaincant.
- La vidéo deepfake a déjà été employée en réunion en direct : dans l'affaire Arup de 2024, un employé a viré environ 25 M$ après une visioconférence entièrement peuplée de « collègues » synthétiques.
Pourquoi la détection classique peine
Les filtres traditionnels reposent sur des signatures, des URL connues comme malveillantes et des empreintes de contenu répété. Les campagnes générées par IA contournent tout cela :
- Chaque message est unique, donc le hachage de contenu et la détection de gabarit échouent.
- Le texte est grammaticalement parfait, donc le scoring heuristique du « langage spam » s'effondre.
- L'infrastructure est neuve et renouvelée, donc la réputation de domaine et d'IP est toujours en retard.
La détection doit de plus en plus s'appuyer sur des signaux comportementaux et structurels plutôt que sur le contenu.
Signaux encore fiables :
- Authentification : alignement SPF, DKIM, DMARC (p=reject)
- Écart entre nom affiché et enveloppe/From
- Domaines expéditeurs récemment enregistrés ou ressemblants
- Routage reply-to / return-path anormal
- Premier contact + urgence + demande de paiement/identifiants
Ce que les défenseurs doivent faire dès maintenant
Renforcer l'authentification. Imposez DMARC en p=reject sur vos propres domaines, et privilégiez une MFA résistante au phishing (passkeys FIDO2/WebAuthn) : même une page de connexion parfaitement clonée ne pourra pas rejouer les identifiants.
Sortir la formation du terrain de l'orthographe. « Repérez les fautes » est un conseil mort. Apprenez aux équipes à vérifier les demandes — confirmation hors canal pour les paiements et les réinitialisations d'accès, quelle que soit la qualité du message.
Partir du principe que la voix et la vidéo mentent. Instaurez un mot de passe verbal ou un rappel sur numéro connu pour les demandes financières et d'accès sensibles.
Outiller le signalement. Un bouton « signaler un phishing » en un clic, relié à votre SOC, n'a jamais eu autant de valeur : la suspicion humaine est l'un des rares signaux qui passe à l'échelle en même temps que l'attaque.
L'objectif défensif n'est plus de démasquer le faux par ses défauts. C'est de rendre l'action voulue par l'attaquant impossible ou réversible — via l'authentification, la vérification hors canal et des identifiants résistants au phishing.
Comment GottaPhish aide
L'IA permet désormais aux attaquants de composer des leurres impeccables et personnalisés qui déjouent les réflexes du type « repérez la faute d'orthographe » qu'on enseignait autrefois. GottaPhish et son équipe d'experts vous aident à affronter précisément cette menace : des simulations personnalisées par IA, adaptées au poste, à la langue et au contexte de chaque destinataire, avec des tableaux de bord montrant quelles équipes mordent aux leurres les plus sophistiqués. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios réalistes, vous aident à interpréter les résultats et accompagnent le déploiement d'une MFA résistante au phishing (FIDO2/passkeys) pour qu'un clic ne signifie plus une compromission — mesurant votre résilience face à la menace d'aujourd'hui, pas face au phishing d'il y a cinq ans.
