Si on vous avait déjà parlé des systèmes d’arnaque les plus célèbres on avait pas forcément abordé dans le détail celles qui se passent sur internet. Avec l’arrivée d’intelligences artificielles de plus en plus élaborées, les pirates et autres enfoirés d’arnaqueurs peuvent s’en donner à coeur joie pour aller voler le pognon des honnêtes gens un peu naïfs, et on va en voir certains exemples ensemble.

Les IA qui génèrent de fausses voix

Certaines intelligences artificielles sont désormais capables d’imiter à la perfection des voix grâce à un échantillon, du coup des arnaqueurs les utilisent pour se faire passer pour une personne auprès de leurs proches en demandant une somme d’argent ou des informations personnelles. Le problème c’est que c’est tellement convainquant que pas mal de gens sont déjà tombés dans le panneau, du coup évitez de prêter de l’argent à qui que ce soit, même si c’est votre fils.

Les deepfakes

Les Deepfakes ont aussi énormément évolué ces dernières années, en ajoutant à une technologie capable de modifier le visage d’une personne mais également sa voix de manière convaincante, on peut commencer à montrer ce qu’on veut avec une fausse vidéo. Généralement, les maitre-chanteurs font une vidéo compromettante d’une personne qui semble très réelle et ils lui demandent de l’argent en disant qu’ils la mettront en ligne si la victime refuse de coopérer. Assez flippant.

Le phishing de masse

L’une des plus célèbres arnaques sur internet, elle consiste à « hameçonner » quelqu’un avec un mail frauduleux. Le fishing est global, voyez ça comme un gros filet de pêche (un mail envoyé à plein de monde) dans lequel on va essayer de pêcher plusieurs victimes (certaines personnes qui vont tomber dans le piège).

Vous pensez suivre le lien vers une administration ou un site sécurisé mais en réalité vous êtes dans le piège de pirates qui veulent récupérer vos données (souvent bancaires). Faux mails de banque, loterie gagnée (à laquelle vous n’avez pas participé), SMS qui demande une réponse surfacturée… Le problème supplémentaire c’est qu’avec les IA le phishing devient extrêmement facile à mettre en place à grande échelle puisqu’il suffit de demander à l’IA de s’occuper d’envoyer les faux mails / messages à un nombre important de personnes.

Crédits photo (Domaine Public) : Andrew Levine

Le phishing personnalisé ou "spear fishing"

Contrairement au fishing de masse, le « spear fishing » (pêche au harpon) est ciblé sur une personne particulière qui a été étudiée en amont. Le pirate se fait passer pour une connaissance, un proche ou une entreprise avec laquelle a été en contact la victime. Désormais les IA peuvent très facilement « étudier » le profil d’une personne en ligne, connaitre ses gouts, ses préférences et savoir comment hameçonner une cible en générant un mail ou un tweet de phishing personnalisé.

Là où ce genre d’enquête pouvait se révéler longue pour un hacker et pas forcément payante vu que la personne sur laquelle il passait du temps pouvait refuser de payer, le fait de passer par l’IA facilite tout le travail et permet donc de cibler très bien plusieurs personnes en même temps avec pour chacune une arnaque personnalisée.

Le scan de réseau fragile

Les IA sont également capables de scanner un réseau ou la sécurité d’un site web pour trouver les failles, les vulnérabilités, les brèches ou les erreurs qui s’y trouvent et peuvent être exploitées. C’est un outil super car il permet aux développeurs de vérifier si leur code ou leur réseau est sécurisé, sauf que bah il permet aussi aux hackers de faire la même chose.

Et vous vous en doutez, le projet des hackers n’est pas de corriger une faille mais de l’exploiter. Et n’allez pas croire que ça n’arrive qu’aux petits sites et petits réseaux, de grosses entreprises ont déjà été victimes d’attaques sérieuses, tout comme la plupart (voire la totalité) des réseaux wifi publics sont complètement à éviter si vous voulez protéger vos données.

Le bypass de captcha

Vous connaissez les captcha, ce sont ces petites fenêtres où l’on vous demande de cliquer sur des images, recopier un texte ou cocher une case pour vérifier si vous êtes un humain avant de valider une connexion ou un paiement. Si jusqu’ici ces méthodes de vérification étaient assez solides, elles peuvent aujourd’hui être « validées » par des intelligence artificielles.

Certaines IA sont complètement capables de reconnaitre des images, des textes et de cliquer sur toutes les images d’un feu rouge par exemple, forçant (ou bypassant) le contrôle par captcha. C’est pour cela qu’on favorise aujourd’hui les authentifications à deux facteurs (avec réception d’un SMS qui vous donne un code de vérification par exemple).

Crédits photo (Domaine Public) : Kruglov sur Wikipédia anglais

Les malwares

Jusqu’ici les « worms » et le principe du cheval de Troie étaient les malwares les plus répandus. Vous installez (généralement à votre insu) un logiciel malveillant en cliquant sur un lien foireux ou en téléchargeant un programme que vous pensez légal (ou non d’ailleurs) et celui-ci récupère vos données ou fout en l’air votre système. Du classique et généralement on y voit que du feu.

Les malwares "intelligents"

Maintenant que les intelligences artificielles sont plus compétentes, un malware peut devenir beaucoup plus menaçant. Certains sont désormais capables de comprendre comment un antivirus les a repérés par exemple, et d’apprendre de cette erreur pour se corriger eux-mêmes ou leur code et éviter de reproduire la même erreur.

Ce concept s’appelle le « machine learning », la faculté qu’ont les IA à apprendre et s’adapter. Si vous voulez être un peu rassurés, sachez que la sécurité informatique évolue aussi dans ce sens, les antivirus et autres logiciels de protection sont gérés par des IA qui apprennent aussi les techniques par lesquelles on les détourne.

Le pharming

Cette technique consiste à vous rediriger (sans que vous en soyez conscient) sur un site frauduleux alors que vous pensez naviguer sur un site sécurisé. Vous allez alors entrer vos données bancaires pour effectuer un achat mais en réalité vous êtes déjà dans l’arnaque. Un bon moyen de vous assurer que votre achat est sécurisé est de toujours vérifier que le site est en « HTTPS » dans l’url. Eh oui, les achats sur les sites web font partie des possibles arnaques sur internet.

Et surtout, quoi que vous fassiez, ne cliquez pas sur ce lien.

Sources : Nextimpact, Intelligence Artificielle, Fraud, Vade Secure.