Contexte

L’impact de l’IA sur notre sécurité numérique

ai digitale veiligheid
© iStock

L’IA rend divers aspects de la cybercriminalité plus rapides, moins coûteux, plus convaincants, plus étendus et plus accessibles, et on peut se demander si nous avons vraiment conscience de ce qui nous attend. Les cybercriminels ne sont (heureusement) pas encore remplacés par l’IA. Au contraire, l’IA est avant tout un outil sacrément pratique qui abaisse le seuil de réussite de la cybercriminalité. Ceux qui rédigeaient autrefois des e-mails de hameçonnage maladroits dans un néerlandais approximatif peuvent désormais, grâce à l’IA, générer en quelques secondes un e-mail crédible qui pourrait très bien provenir de votre banque, de votre employeur ou de votre fournisseur d’énergie. L’IA peut également être détournée pour toutes sortes d’opérations techniques, comme la compréhension et la modification de code. Les deepfakes et les clonages de voix peuvent quant à eux être utilisés pour se faire passer pour une connaissance de la victime. Il y a quelques années encore, cela relevait de la science-fiction ; aujourd’hui, c’est une réalité effrayante. Les entreprises de cybersécurité et les services de police constatent bien sûr eux aussi cette évolution. Dans son Digital Defense Report 2025, Microsoft soulignait déjà que les attaquants développaient de nouvelles techniques autour d’un hameçonnage davantage automatisé par l’IA et d’attaques en plusieurs étapes. Europol a quant à lui mis en garde contre le fait que l’IA permet au crime organisé de gagner en ampleur, notamment grâce à des messages multilingues, des imitations réalistes et l’automatisation.

Tromperie numérique

La menace la plus visible aujourd’hui ne réside pas (encore) dans des super-virus entièrement créés par l’IA, mais dans l’accélération fulgurante de l’ingénierie sociale. Il s’agit de tromper et de manipuler les gens à tel point qu’ils ouvrent eux-mêmes la porte pour se faire voler. Pensez à un employé qui valide une fausse facture, à un parent qui répond à un faux e-mail de l’école, ou à une personne à qui un soi-disant membre de la famille demande via WhatsApp de transférer de l’argent de toute urgence. Autrefois, bon nombre de ces tentatives étaient encore relativement faciles à repérer. Une syntaxe étrange, une formule de politesse incorrecte ou un logo qui ne correspondait pas tout à fait étaient souvent des indices révélateurs. L’IA élimine bon nombre de ces signaux.

Un cybercriminel peut faire rédiger un e-mail de hameçonnage dans un néerlandais parfait et même adapter le ton en fonction de l’expéditeur : qu’il s’agisse soi-disant de votre banque, de votre opérateur télécom ou de votre service des ressources humaines. Il est ensuite possible de créer des variantes adaptées à différents publics et scénarios : un ton formel pour une entreprise, chaleureux et attentionné pour des parents, bref et impératif pour susciter un sentiment d’urgence. Grâce à l’IA, ces attaques sont devenues bien plus crédibles et, par conséquent, d’autant plus dangereuses. À cela s’ajoute le fait que l’IA facilite également la personnalisation. Les informations disponibles en ligne, par exemple via les profils LinkedIn, les réseaux sociaux ou des fuites de données antérieures, peuvent être automatiquement intégrées dans des messages convaincants. Un e-mail faisant référence, par exemple, à votre véritable fonction, à une conférence récente ou au nom de votre responsable semble moins suspect qu’un message générique concernant « votre compte ».

Masque humain

La situation devient encore plus inquiétante lorsque le texte n’est plus la seule arme à disposition. Les deepfakes et les clones vocaux donnent au phishing un visage humain, ou plutôt : un masque humain. Un appel téléphonique de votre « patron » vous demandant d’effectuer un paiement urgent, un appel vidéo dans lequel un collègue semble apparaître, ou un message audio d’un proche en panique : ce sont là des scénarios qui ne relèvent plus de la fiction. Le danger réside bien sûr ici dans la combinaison entre le caractère familier et la pression du temps. De nos jours, les gens sont bien formés pour ne pas divulguer leurs mots de passe à la première occasion, mais nous avons beaucoup moins le réflexe de douter d’une voix qui nous semble familière. Dans un contexte professionnel, cela peut facilement conduire à une fraude aux paiements ou au partage de documents sensibles.

À la maison, il s’agit souvent d’escroqueries plus classiques, mais avec une touche plus personnelle. Quand on entend la voix de son enfant, on a moins tendance à réfléchir de manière rationnelle que face à un SMS anonyme. Bien sûr, l’IA ne garantit pas que tous les deepfakes soient désormais parfaits. De nombreux faux se trahissent encore par des mouvements étranges, une intonation monotone ou un rythme peu naturel. De plus, beaucoup de gens sentent souvent instinctivement que quelque chose cloche. Malgré tout, les deepfakes gagnent en crédibilité, et même si ce n’était pas le cas, les cybercriminels n’ont pas besoin d’une qualité digne d’Hollywood pour réussir. Souvent, il suffit d’avoir juste assez de crédibilité pour semer le doute chez quelqu’un pendant quelques minutes.

Changer de vitesse plus rapidement

Tout comme l’ingénierie sociale, le développement des logiciels malveillants est fortement influencé par l’IA. L’idée d’une IA capable d’écrire de manière totalement autonome un virus informatique et de paralyser ainsi le monde entier est pour l’instant encore un peu exagérée, mais l’IA peut bel et bien accélérer l’ensemble du processus de création de logiciels malveillants. Un pirate peut, par exemple, utiliser l’IA pour modifier du code existant et ainsi réorienter un logiciel malveillant existant vers une nouvelle cible. Ou bien ce même logiciel malveillant peut être adapté plus rapidement pour fonctionner simultanément sur plusieurs systèmes. L’IA permet également d’analyser facilement les codes sources, les correctifs et autres documentations techniques, à la recherche de détails susceptibles d’être exploités.

Il en résulte que, grâce à l’IA, les cybercriminels peuvent agir beaucoup plus rapidement. Les vulnérabilités peuvent être détectées plus vite et les logiciels malveillants peuvent être déployés plus rapidement et à plus grande échelle pour mener une attaque. Par conséquent, le camp de la défense doit également agir plus rapidement. On assiste ainsi à un jeu du chat et de la souris permanent, dans lequel la pression exercée sur la partie défensive est particulièrement forte. La question est alors de savoir combien de temps cette défense pourra tenir face à des attaques incessantes.

Les cybercriminels sont plus productifs

Le fil conducteur ici est que l’IA rend les cybercriminels bien plus productifs, et cela commence dès la phase de préparation. L’IA peut synthétiser les informations publiques concernant une victime potentielle, identifier des employés susceptibles de présenter un intérêt au sein d’une entreprise ciblée, effectuer des recherches plus efficaces dans des listes de mots de passe ayant déjà fait l’objet de fuites, et bien plus encore. Bien sûr, le cybercriminel doit tout de même avoir une certaine maîtrise de ce qu’il fait. L’IA ne transforme pas d’un coup n’importe quel amateur en hacker d’élite, mais, comme nous l’avons dit, elle rend l’attaquant moyen plus productif. On observe ce phénomène ailleurs également. Grâce à l’IA, les employés de bureau peuvent en effet rédiger plus rapidement des e-mails ou résumer des rapports ; il serait donc étrange que les cybercriminels n’en tirent pas eux aussi parti. Et c’est là le problème, notamment l’augmentation d’échelle que l’IA permet également dans le domaine de la cybercriminalité. De plus, tout cela devient beaucoup plus crédible. Ainsi, nous ne sommes plus confrontés à un e-mail de hameçonnage évident de temps à autre, mais à des milliers de variantes qui peuvent toutes paraître relativement crédibles. Et cela ne concerne que les e-mails de hameçonnage. En réalité, les cybercriminels déploient souvent un arsenal varié, comprenant non seulement des e-mails de hameçonnage, mais aussi des deepfakes, des logiciels malveillants et bien d’autres outils, et ce à une telle échelle qu’il est pratiquement garanti que quelqu’un, quelque part, finira par mordre à l’hameçon.

L’IA comme moyen de défense

Il y a donc beaucoup de changements à venir, et en réalité, cela bat déjà son plein. Une lueur d’espoir réside dans le fait que l’IA peut également être utilisée pour mieux nous défendre contre les cyberattaques. Des entreprises comme Google et Microsoft s’emploient activement à utiliser l’IA pour détecter les vulnérabilités et les cyberattaques imminentes. Des succès concrets sont déjà enregistrés dans ce domaine, ce qui est encourageant. Il s’agit toutefois d’une course contre la montre dans laquelle l’une des parties dispose d’un avantage certain. En effet, les attaquants peuvent simplement continuer à tirer de manière ciblée ou aléatoire : il leur suffit d’un seul coup pour réussir. Les défenseurs, en revanche, doivent être capables de repousser les attaques avec succès en permanence. Si la défense commet une erreur, cela peut avoir de graves conséquences. De plus, l’IA n’apporte pas d’apport immédiat si la sécurité de base laisse à désirer. Une entreprise n’a guère besoin d’une IA défensive si elle ne maintient pas ses serveurs à jour ou si l’authentification en deux étapes fait défaut. Les principes fondamentaux restent donc essentiels, qu’il s’agisse de mots de passe forts ou de procédures claires qui doivent être respectées. Les utilisateurs lambda ne doivent pas non plus placer toute leur confiance dans l’IA. La meilleure défense commence souvent par le bon sens. Si vous le négligez, vous ne pouvez qu’espérer que l’IA viendra tout de même à votre secours.

Une nouvelle réalité

Au final, l’IA ne fait que rendre la question de la sécurité numérique bien plus complexe. La frontière entre le vrai et le faux devient de moins en moins évidente. Les e-mails et les sites web qui semblent tout à fait légitimes ne garantissent en rien leur fiabilité, et les deepfakes ont le potentiel de tromper n’importe qui. Nous devrons adapter nos habitudes et nos réflexes en conséquence, tant à la maison qu’au travail. Il est également important de prendre conscience que tout cela est déjà en train de se produire. La cybercriminalité alimentée par l’IA n’est pas un problème pour plus tard, mais bien une nouvelle réalité qui existe déjà et qui n’en est qu’à ses balbutiements. Cela signifie que ce qui existe aujourd’hui n’est qu’un avant-goût de ce qui nous attend. Les éléments constitutifs sont déjà en place, qu’il s’agisse de modèles linguistiques, de générateurs d’images, de clonage de voix, d’automatisations ou d’une quantité colossale de données divulguées, et les cybercriminels ne feront que s’améliorer pour exploiter tous ces éléments de manière plus intelligente et faire de nouvelles victimes. Nous devrons donc apprendre à vivre avec cette nouvelle réalité, dans laquelle la tromperie est plus facile, moins coûteuse, plus rapide et plus personnalisée que jamais. Ce n’est pas un petit diable que l’on peut remettre dans sa boîte. Cela ne signifie pas qu’il faille devenir paranoïaques à tout bout de champ, mais bien que nous devons prendre conscience que la confiance ne va pas de soi. Le vrai et le faux se présentent de plus en plus souvent sous le même jour, et ce n’est qu’avec du bon sens et les bons réflexes, qu’ils soient ou non soutenus par l’IA, que nous pourrons découvrir ce qui se cache réellement derrière les apparences, et encore…

  • À lire également : L’IA met à mal l’engagement européen en matière de protection de la vie privée
  • Inscrivez-vous à notre newsletter et recevez chaque semaine le meilleur de Clickx dans votre boîte mail.

    Suivez Clickx sur Google Actualités pour recevoir nos derniers articles dans votre flux. N’oubliez pas de cliquer sur « Suivre ».

    Google Ajoutez Clickx.be à vos favoris sur Google !
    Onderwerp: Ai

    Autres articles pertinents

    Abonnez-vous à Clickx

    Recevez le magazine Clickx 10 fois par an (dont 2 numéros doubles particulièrement volumineux), livré directement chez vous.