Hameçonnage Comment évolue cette menace
Category
🤖
TechTranscript
00:00 Le retour de Tech Hebdo avec notre rendez-vous cybersécurité.
00:04 Jérôme, et c'est avec Benoît Grenonval qui est avec nous.
00:07 Qui d'autre ?
00:08 Salut Benoît.
00:09 Bonjour messieurs.
00:10 Ravie de vous retrouver.
00:11 On se retrouve régulièrement, Benoît, pour décrypter un sujet tech, un sujet de cybersécurité.
00:17 Et alors là, on est en plein dans l'actualité puisqu'on en a déjà parlé la semaine dernière,
00:22 de chat GPT, cet outil d'intelligence artificielle plein de promesses
00:27 qui peut être détourné ou en tout cas utilisé pour faire des attaques, et notamment du hamsonnage.
00:33 De l'hamsonnage, on voit que c'est une tendance qui est en très forte hausse.
00:36 Toujours en 2022, l'hamsonnage a à peu près une vingtaine d'années et encore en 2022, ça continue de croître.
00:43 C'est l'une des méthodes les plus simples et des premières méthodes pour rentrer soit dans un système d'information,
00:49 on le voit dans les entreprises, dans les administrations,
00:51 mais également pour subtiliser des informations aux particuliers.
00:54 On rappelle en une seconde ce que c'est que l'hamsonnage, c'est-à-dire un faux email.
00:58 Alors un faux email et/ou sur différents supports maintenant.
01:02 Oui, un SMS.
01:03 Auparavant, c'était juste email.
01:04 Ça peut être un téléphone.
01:05 Un smartphone. C'est également un appel.
01:08 Et on le voit de plus en plus dans les appels pour des fraudes bancaires.
01:12 D'accord.
01:13 Donc l'hamsonnage, très répandu, très utilisé.
01:16 Et la difficulté pour les cybercriminels, c'est de pouvoir créer des messages qui soient à la fois réalistes,
01:23 quand ce n'est pas notre propre langue,
01:25 mais également des messages qui vont passer en dessous des radars, des systèmes de détection,
01:29 et du premier rempart qu'est l'humain.
01:32 Donc pour pouvoir créer ces messages-là, on sait qu'au début, il y avait beaucoup de fautes,
01:36 beaucoup moins de fautes aujourd'hui grâce à l'intelligence artificielle des traducteurs,
01:40 et encore moins de fautes et beaucoup plus de cohérence dans les messages
01:45 grâce à des outils de type chat GPT à qui on va pouvoir demander de rédiger des fausses annonces,
01:51 des demandes qui vont être circonstanciées.
01:54 Et puis surtout, on va pouvoir les répéter quasiment à l'infini
01:57 et créer des nouveaux messages qui vont être les plus convaincants.
02:02 Oui, avec peu de fautes d'orthographe, dans n'importe quelle langue,
02:05 avec une cohérence dans l'écrit, c'est ça qui est fort.
02:07 Exactement. Il suffit de lancer des idées, c'est assez fascinant.
02:12 Et tu as testé, ça fonctionne.
02:14 Alors, quand on teste, le système de prime abord est bien fait
02:18 parce que quand on demande s'il peut nous écrire un email d'hameçonnage,
02:22 chat GPT dit non. C'est en dehors de « je n'ai pas le droit »
02:27 et il nous explique ce que c'est l'hameçonnage. Donc, c'est assez didactique.
02:30 Et puis, si on lui demande tout simplement d'écrire un email
02:33 qui est en correspondance avec ce que l'on voudrait envoyer comme hameçonnage,
02:36 au final, chat GPT fait son job.
02:39 Il n'a pas la subtilité de compréhension.
02:42 Même si on lui a demandé de nous écrire un email d'hameçonnage juste avant.
02:45 Il n'a pas… Donc, vraiment une belle techno.
02:49 Et ça va nous demander, à nous utilisateurs, d'être encore plus vigilants,
02:53 même si on est des aficionados de la tech,
02:56 parce que l'algorithme est de plus en plus puissant.
03:00 Alors, c'est pour viser quel type d'utilisateur, quel type de plateforme, etc.?
03:05 Alors, toutes les plateformes. L'objectif est de récupérer des informations.
03:08 On a vu des arnaques à la vignette Critère.
03:11 On a vu des arnaques à la carte Vitale.
03:14 Et puisque ces deux objets sont gratuits, une vignette Critère,
03:17 il suffit de s'enregistrer et de la demander. On l'a gratuitement.
03:20 Les hameçonneurs vont nous envoyer des messages pour nous alerter sur le fait qu'il en faut une.
03:26 Et au lieu de nous emmener sur le site officiel, ils vont nous emmener sur leur site
03:29 et/ou nous faire payer, rentrer nos coordonnées bancaires et nous faire payer.
03:32 De même, pour la carte Vitale, ils vont nous demander des frais de port
03:36 pour nous envoyer une nouvelle carte Vitale.
03:38 Ce qui, bien entendu, est totalement gratuit.
03:41 Et puis, surtout, pour des réseaux sociaux, des réseaux sociaux bien connus et dans l'actualité,
03:47 Twitter en fait partie. On sait que les cybercriminels utilisent l'actualité à leur profit.
03:54 Le Qatar, la guerre en Ukraine, plus loin, mais bientôt, les Jeux olympiques 2024.
04:01 On a déjà vu, d'ailleurs, les billets qui sont disponibles à la loterie
04:05 qui en fait un effet qui permet aux cybercriminels de s'engouffrer dans l'opportunité que cela représente.
04:11 Et Twitter, avec les comptes certifiés, les comptes payants,
04:17 et les cybercriminels utilisent cet objectif.
04:20 On reçoit un mail, c'est ça, nous indiquant que la politique d'utilisation de Twitter a changé,
04:26 qu'il faut mettre à jour, qu'il faut se connecter.
04:28 Là, on donne ces identifiants Twitter. Là, ce n'est pas forcément pour de l'argent, d'ailleurs.
04:32 Ce n'est pas que pour de l'argent. On va avoir l'objectif de récupérer un grand nombre de comptes Twitter,
04:38 notamment, et c'est important de le préciser, ceux qui ne sont pas protégés par l'authentification de facteurs.
04:43 D'où l'intérêt d'activer la double authentification.
04:47 Exactement.
04:48 Comme sur Twitter, comme sur tous les autres services.
04:50 Bien sûr, comme sur la plupart des applis bancaires aujourd'hui, etc.
04:54 Juste un mot, Benoît, pour revenir quelques secondes sur ChatJPT.
04:58 Est-ce qu'on n'est pas en train d'ouvrir la boîte de Pandore, d'arnaques diverses et variées,
05:02 avec cette nouvelle intelligence artificielle qui, on le voit, est plutôt malléable, en fait ?
05:07 On parle d'hameçonnage, mais on peut imaginer tout type d'arnaque, finalement, et dans toutes les langues.
05:12 C'est ça qui est intéressant.
05:13 Dans toutes les langues, j'ai également vu des exemples où un codeur demandait à ChatJPT de lui créer un widget,
05:19 et ChatJPT a parfaitement réalisé le langage.
05:22 Ça, ce n'est pas du piratage.
05:24 On peut peut-être trouver une API détournée ou quelque chose comme ça.
05:29 Complètement.
05:30 Alors, malheureusement, oui, mais c'est aussi à nous de prévenir les utilisateurs
05:37 et de faire en sorte qu'il y ait un contrôle qui soit fait a posteriori,
05:41 parce qu'on ne peut pas bloquer l'innovation, juste parce qu'il y a des risques.
05:45 C'est clair.
05:46 Et cette intelligence artificielle ne sera jamais assez intelligente pour séparer les bonnes choses des mauvaises choses.
05:53 Il y aura toujours la malice humaine qui arrivera à détourner l'outil ChatJPT.
05:58 Complètement.
05:59 Mais on pourrait aussi utiliser ChatJPT pour vérifier son code.
06:02 ChatJPT, y a-t-il des failles dans mon code ?
06:05 Et là, il a une très grande base de données et il voit s'il y a des failles ou pas dans notre code.
06:10 Et rappelons qu'il avait été conçu pour ça, d'ailleurs, pour produire du code, etc.
06:16 Au départ, oui.
06:17 Merci Benoît pour tous ces bons conseils sujets, là aussi très intéressants.
06:21 Benoît Grenoble, expert CBS Security chez EZFrance, qu'on retrouve régulièrement dans Tech Hebdo.