Le Temps
La combine est aussi vieille qu’internet: récupérer de l’argent en utilisant de fausses informations qui ressemblent à s’y méprendre à des vraies. Le nombre de cas de phishing signalés à l’Office fédéral de la cybersécurité augmente depuis des années. Et avec l’arrivée de l’IA, la qualité des attaques s’améliore également Une retraitée qui reçoit un faux SMS de La Poste. Un père qui paie des «droits de douane» après avoir reçu un e-mail trompeur. Un étudiant qui saisit son mot de passe Instagram sur une fausse page de connexion… Le phishing ne touche pas un groupe en particulier. Si la porte d’entrée la plus fréquente reste l’e-mail classique, les tentatives par SMS, sur WhatsApp ou les réseaux sociaux, ainsi que les faux codes QR gagnent en importance. Il faut dire que l’on fait plus confiance à ses canaux personnels qu’aux e-mails anonymes. Des études montrent même que les jeunes technophiles sont plus souvent victimes de tentatives d’escroquerie qu’on ne l’aurait pensé. Les particuliers ne sont toutefois pas les seules cibles. Dans le monde du travail aussi, des schémas clairs se dessinent. Les personnes en télétravail ou travaillant au sein de petites équipes sont plus visées que la moyenne par des tentatives d’hameçonnage. Les raisons en sont structurelles: l’absence du principe du double contrôle et des processus moins formalisés entraînent non seulement une plus grande responsabilité individuelle, mais aussi des erreurs plus fréquentes. Les dommages financiers sont difficiles à chiffrer et la délinquance invisible est énorme. Des analystes estiment que la cybercriminalité coûte chaque année plusieurs milliards de francs à la Suisse. Et dans le pire des cas, le dommage peut aller jusqu’à constituer une menace existentielle. Quand les pirates en savent trop Ce qui rend le phishing si dangereux, ce n’est pas une sophistication technique, mais l’exploitation ciblée des réflexes humains, où simuler l’urgence est le levier le plus efficace. «Votre compte est bloqué», «Dernier rappel», «Action immédiate requise»… De telles formulations affectent l’esprit critique: quand le temps presse, on vérifie moins les choses. A cela s’ajoute le réflexe d’autorité. Les messages qui semblent provenir d’une banque, d’une autorité ou d’un supérieur hiérarchique ont pour effet de faire baisser la garde à de nombreuses personnes. L’habitude joue aussi un rôle: quand on traite des notifications ou que l’on se connecte à des services numériques tous les jours, on finit par le faire au mauvais endroit et au mauvais moment. Le phishing est encore plus ciblé lorsque les assaillants ont accès à certaines données. Nom, adresse e-mail, dernières commandes, informations sur les changements de poste ou sur la réussite d’un projet: ces informations proviennent de fuites de données, de portails d’emploi publics tels que LinkedIn, ou sont disponibles sur des places de marché criminelles. Elles permettent de procéder à du «spear phishing», aux messages hautement personnalisés qui paraissent tout à fait légitimes à première vue. L’«arnaque au président» fonctionne de la même manière, avec les malfaiteurs qui imitent le supérieur direct pour obtenir frauduleusement des ordres de paiement ou des données d’accès. Là encore, la combinaison d’urgence, de secret et d’intensification est typique: «Je suis en réunion. Merci de réaliser immédiatement le virement et de ne rien dire à personne.» Les entreprises qui n’ont pas de processus de validation clairs sont plus fortement touchées. La mécanisation de la crédibilité Jusqu’à présent, ces attaques étaient souvent reconnaissables par la langue utilisée: français hésitant, e-mails génériques et formulations suspectes. C’est désormais du passé. Si l’IA ne modifie pas fondamentalement le phishing, elle rend les attaques beaucoup plus efficaces. Les modèles de langage basés sur l’IA génèrent des messages impeccables dans un style convaincant en quelques fractions de seconde, et ce, dans toutes les langues, pour tous les groupes cibles et dans autant de variantes que souhaité. Si l’IA ne modifie pas fondamentalement le phishing, elle rend les attaques beaucoup plus efficaces Prochaine étape: les deepfakes. Des voix générées par IA imitent d’ores et déjà supérieurs hiérarchiques ou membres de la famille en temps réel. Les appels vidéo avec des visages modifiés pour se faire passer pour quelqu’un d’autre sont techniquement possibles et sont déjà utilisés dans des scénarios à haut risque. Les agents d’attaque autonomes, qui planifient et exécutent des campagnes de phishing entières sans contrôle humain, sont considérés comme l’étape suivante de développement. De manière générale, les fournisseurs d’accès à internet (FAI) luttent contre le phishing avant qu’un message n’atteigne la boîte de réception. A elle seule, Swisscom bloque chaque mois plus de 1500 campagnes de phishing. Elle s’appuie dans son travail sur une base de données suisse dans laquelle les fournisseurs compilent les URL utilisées pour le phishing avant de les bloquer. L’intelligence artificielle a par ailleurs également son utilité du côté de la défense: des systèmes basés sur l’IA analysent les anomalies du trafic réseau et détectent rapidement les schémas d’attaque. Cinq questions à se poser pour se protéger Il arrive malgré tout que des messages de phishing atterrissent dans la boîte de réception, car aucune défense technique n’est infaillible. Alors, comment reconnaître les messages d’hameçonnage si l’on ne peut plus se fier à la langue utilisée? Cinq questions aident à évaluer si un message est suspect: l’adresse de l’expéditeur est-elle aussi correcte, et non pas seulement le nom affiché? Où mène réellement le lien ou le code QR? Le message éveille-t-il un sentiment de pression ou d’urgence, ou impose-t-il la confidentialité? Des données personnelles ou un paiement sont-ils demandés? Le canal ou le moment de réception du message est-il inhabituel? Si vous répondez par l’affirmative à au moins une de ces questions, la prudence s’impose: ne cliquez pas et passez par un autre canal, par exemple par téléphone, pour demander à l’expéditeur présumé si le message est authentique. Celles et ceux qui tomberaient malgré tout dans le panneau doivent agir vite: il faut modifier le mot de passe affecté, contacter la banque ou le service concerné et signaler l’incident à l’Office fédéral de la cybersécurité sur Report.ncsc.admin.ch . Cela permet d’identifier plus rapidement les auteurs de phishing et de protéger les autres. Prévention au quotidien Les particuliers peuvent facilement mettre en place d’autres mesures de protection: activer les filtres antispam et antihameçonnage dans le logiciel de messagerie, activer l’authentification à deux facteurs lors de la connexion et utiliser des gestionnaires de mots de passe. En entreprise, des formations pour sensibiliser à ces thèmes s’avèrent utiles. Pour être efficaces, elles doivent être régulières, courtes et axées sur la pratique. Il est à noter que le principal indicateur de leur impact n’est pas le taux de clics, mais le taux de signalement: à quelle vitesse et à quelle fréquence les collaboratrices et collaborateurs signalent-ils des messages suspects? Une culture de l’erreur positive est décisive à cet égard. Pour faire face aux attaques de phishing, ce qui aide est la méfiance, et non la peur. Se poser les bonnes questions avant de cliquer, c’est déjà avoir franchi l’étape la plus importante. Cinq signes à surveiller Vérifier l’adresse de l’expéditeur, pas seulement le nom affiché Vérifier où mènent les liens avant de cliquer Les codes QR masquent l’adresse de destination: en cas de doute, ne pas scanner. Signes caractéristiques: pression, urgence ou insistance sur la confidentialité Demande inhabituelle de données sensibles ou de paiement Canal ou horaire inhabituels, p. ex. SMS des autorités, ou message du supérieur hiérarchique tard le soir Informations complémentaires et offres de formation: swisscom.ch/campus
Go to News Site