bilbytech.com

Les humains sont encore meilleurs pour créer des emails de phishing que l'IA — pour l'instant.

Les humains sont encore meilleurs pour créer des emails de phishing que l'IA — pour l'instant.

AI
17 juillet 2025

image

Image : Gstudio/Adobe Stock

Au milieu de tout l’engouement autour de ChatGPT et d’autres applications d’intelligence artificielle, les cybercriminels ont déjà commencé à utiliser l’IA pour générer des emails de phishing. Pour l’instant, les cybercriminels humains sont encore plus compétents pour élaborer des attaques de phishing réussies, mais l’écart se réduit, selon le nouveau rapport de Hoxhunt publié mercredi.

Campagnes de phishing créées par ChatGPT par rapport aux humains

Hoxhunt a comparé les campagnes de phishing générées par ChatGPT par rapport à celles créées par des humains pour déterminer laquelle avait le plus de chances de tromper une victime.

Pour mener cette expérience, l’entreprise a envoyé 53 127 utilisateurs dans 100 pays des simulations de phishing conçues soit par des ingénieurs sociaux humains, soit par ChatGPT. Les utilisateurs ont reçu la simulation de phishing dans leur boîte de réception comme ils recevraient n’importe quel type d’email. Le test a été mis en place pour déclencher trois réponses possibles :

  1. Succès : L’utilisateur signale avec succès la simulation de phishing comme malveillante via le bouton de signalement de menace Hoxhunt.
  2. Échec : L’utilisateur n’interagit pas avec la simulation de phishing.
  3. Défaillance : L’utilisateur mord à l’hameçon et clique sur le lien malveillant dans l’email.

Les résultats de la simulation de phishing menée par Hoxhunt

Au final, les emails de phishing générés par des humains ont attiré davantage de victimes que ceux créés par ChatGPT. Plus précisément, le taux auquel les utilisateurs ont succombé aux messages générés par des humains était de 4,2 %, contre 2,9 % pour les messages générés par l’IA. Cela signifie que les ingénieurs sociaux ont surperformé ChatGPT d’environ 69 %.

Un résultat positif de l’étude est que la formation en matière de sécurité peut s’avérer efficace pour contrer les attaques de phishing. Les utilisateurs ayant une plus grande sensibilisation à la sécurité étaient beaucoup plus susceptibles de résister à la tentation d’interagir avec les emails de phishing, qu’ils aient été générés par des humains ou par l’IA. Les pourcentages de personnes qui ont cliqué sur un lien malveillant dans un message sont passés de plus de 14 % chez les utilisateurs moins formés à entre 2 % et 4 % chez ceux ayant une formation accrue.

VOIR : Politique de sensibilisation et de formation à la sécurité (TechRepublic Premium)

Les résultats variaient également d’un pays à l’autre :

  • États-Unis : 5,9 % des utilisateurs interrogés ont été dupés par des emails générés par des humains, contre 4,5 % pour les messages générés par l’IA.
  • Allemagne : 2,3 % ont été trompés par des humains, contre 1,9 % trompés par l’IA.
  • Suède : 6,1 % ont été dupés par des humains, contre 4,1 % dupés par l’IA.

Les défenses actuelles en matière de cybersécurité peuvent toujours couvrir les attaques de phishing par IA

Bien que les emails de phishing générés par des humains aient été plus convaincants que ceux provenant de l’IA, ce résultat est fluide, surtout à mesure que ChatGPT et les autres modèles d’IA s’améliorent. Le test lui-même a été effectué avant la sortie de ChatGPT 4, qui promet d’être plus sophistiqué que son prédécesseur. Les outils d’IA vont certainement évoluer et poser une plus grande menace aux organisations auprès des cybercriminels qui les utilisent à leurs propres fins malveillantes.

Couverture de sécurité à ne pas manquer

  • Principales menaces de cybersécurité pour 2023
  • Meilleurs logiciels de gestion des actifs informatiques
  • Rencontrez l’appareil de cybersécurité portable le plus complet
  • Comment sécuriser votre email via le cryptage, la gestion des mots de passe et plus encore (TechRepublic Premium)

De plus, protéger votre organisation contre les emails de phishing et autres menaces nécessite les mêmes défenses et la même coordination, que les attaques soient créées par des humains ou par l’IA.

« ChatGPT permet aux criminels de lancer des campagnes de phishing parfaitement rédigées à grande échelle, et bien que cela élimine un indicateur clé d’une attaque de phishing : la mauvaise grammaire, d’autres indicateurs sont facilement observables pour l’œil entraîné », a déclaré Mika Aalto, PDG et cofondateur de Hoxhunt. « Dans le cadre de votre stratégie globale de cybersécurité, assurez-vous de vous concentrer sur vos employés et leur comportement en matière d’email, car c’est ce que font nos adversaires avec leurs nouveaux outils d’IA.

« Intégrez la sécurité comme une responsabilité partagée dans toute l’organisation avec une formation continue qui permet aux utilisateurs de repérer les messages suspects et les récompense pour le signalement des menaces jusqu’à ce que la détection des menaces par l’humain devienne une habitude. »

Conseils de sécurité pour les services informatiques et les utilisateurs

À cet effet, Aalto offre les conseils suivants.

Pour les services informatiques et la sécurité

  • Exigez une authentification à deux facteurs ou une authentification multi-facteurs pour tous les employés ayant accès aux données sensibles.
  • Donnez à tous les employés les compétences et la confiance nécessaires pour signaler un email suspect ; un tel processus doit être simple.
  • Fournissez aux équipes de sécurité les ressources nécessaires pour analyser et traiter les signalements de menaces des employés.

Pour les utilisateurs

  • Passez la souris sur n’importe quel lien dans un email avant de cliquer dessus. Si le lien semble déplacé ou non pertinent par rapport au message, signalez l’email comme suspect aux services d’assistance informatique ou au centre d’assistance.
  • Examinez attentivement le champ de l’expéditeur pour vous assurer que l’adresse de courrier électronique contient un domaine d’entreprise légitime. Si l’adresse pointe vers Gmail, Hotmail ou un autre service gratuit, le message est probablement un e-mail de phishing.
  • Confirmez un e-mail suspect avec l’expéditeur avant d’agir sur celui-ci. Utilisez une méthode autre que l’e-mail pour contacter l’expéditeur concernant le message.
  • Réfléchissez avant de cliquer. Les attaques de phishing par ingénierie sociale essaient de créer un faux sentiment d’urgence, incitant le destinataire à cliquer sur un lien ou à interagir avec le message le plus rapidement possible.
  • Soyez attentif au ton et au style d’un e-mail. Pour l’instant, les e-mails de phishing générés par l’IA sont rédigés dans un style formel et maladroit.

Lisez ceci : ChatGPT peut être une arme à double tranchant dans la cybersécurité (TechRepublic)

image

Bulletin d’information Cybersecurity Insider

Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières actualités, solutions et meilleures pratiques en matière de cybersécurité.

Livré le mardi et le jeudi Inscrivez-vous dès aujourd’hui

Auteur
Henri
Rédacteur invité expert tech.

Articles liés

Neurones artificiels ioniques : vers des puces d'IA plus petites et plus économes

Neurones artificiels ioniques : vers des puces d'IA plus petites et plus économes

Neurones artificiels ioniques : vers des puces d'IA plus petites et plus economes Des chercheurs de l'USC Viterbi School of Engineering et de la School of Advanced Computing ont développé des neurones artificiels qui reproduisent le comportement electrochimique des cellules cerebrales. Basée sur le mouvement d'ions et non d'electrons, cette approche pourrait permettre des puces […]

AI
LinkedIn utilisera les données des utilisateurs européens pour entraîner son IA – comment s'en protéger

LinkedIn utilisera les données des utilisateurs européens pour entraîner son IA – comment s'en protéger

LinkedIn utilisera les données des utilisateurs européens pour entraîner son IA – comment s'en protéger LinkedIn a annoncé qu'il mettra à jour ses conditions d'utilisation le lundi 3 novembre pour autoriser l'utilisation des données de ses internautes européens afin d'entraîner son intelligence artificielle générative. La plateforme, présente dans 200 pays, dit vouloir ainsi « améliorer votre […]

AI