Des chercheurs ont combiné plusieurs outils existants pour créer une IA capable de rédiger des e-mails de phishing tellement crédibles qu’ils dépassent ceux rédigés par des humains.

au sommaire

    Le phishing, cette plaie du Web qui permet aux hackers de dérober des identifiants pour pénétrer les systèmes les mieux protégés, pourrait devenir encore plus redoutable grâce à l’Intelligence artificielle. Il faut dire que les campagnes massives de mails par phishing sont souvent peu crédibles. Il n'y a guère que lorsque l'auteur d'une attaque cherche à cibler des personnes en particulier, qu'il parvient à donner de la vraisemblance à un message piégé.

    Sur ce sujet, la découverte d'une équipe de l'agence gouvernementale chargée des technologies, à Singapour, a de quoi inquiéter. Présentée lors du Blackhat et Def Con de Las-VegasVegas, la technique qu'elle a employée permet de rédiger automatiquement un message de phishing aussi convaincant, voire plus, que celui rédigé par un humain. Comment ? En exploitant un modèle de langage appelé GPT-3 édité par OpenAI, soutenu par d'autres plateformes d'IAIA. Un modèle de langage consiste à modéliser l'utilisation des mots dans une langue naturelle. Cela permet, par exemple, de prédire les mots en saisissant un début de phrase.

    Une IA qui adapte le contenu à la personnalité

    Le test mené par l'équipe a prouvé que cela fonctionne puisque, sur 200 messages envoyés à leurs collègues, les chercheurs ont été surpris de constater qu'ils avaient majoritairement cliqué sur de faux liens des e-mails rédigés par l'IA. Ceux réalisés par les humains leur semblaient moins crédibles. Mais attention, selon ces experts, cette IA nécessite un haut niveau d'entraînement et il faudrait des millions de dollars pour créer un excellent modèle.

    Dans l'expérimentation, le modèle ne se contentait pas uniquement de rédiger des phrases crédibles, il allait beaucoup plus loin en analysant la personnalité des destinataires du message afin d'identifier leur mentalité et créer des textes d'accroche pertinents. Pour le coup, le résultat semblait étrangement humain et, en tout cas, suffisant pour berner les cibles et les inciter à cliquer sur un lien amenant à un phishing. Inquiétant !