J'ai été trompé en 15 minutes. Voici ce à quoi ressemble l'ingénierie sociale assistée par l'IA.
Je travaille dans le domaine de la cybersécurité. Mon métier consiste à parler d'ingénierie sociale, d'attaques assistées par l'IA et de menaces basées sur l'identité. Je connais les manuels de jeu des attaquants.
Aussi, lorsque Rachel Tobac, trois fois championne de la compétition d'ingénierie sociale DEFCON et PDG de Social Proof Security, a proposé de me faire une démonstration d'une attaque en direct lors de notre récent webinaire, je me suis dit que je savais à peu près ce qui m'attendait.
J'avais tout faux.
En quinze minutes, Rachel a constitué un dossier d'attaque complet, un prétexte de spear-phishing si personnel qu'il m'a fait rire, une version clonée de ma voix et une vidéo deepfake de mon visage demandant mon mot de passe à un collègue. Elle s'est contentée d'utiliser des outils d'intelligence artificielle prêts à l'emploi et d'extraire des données publiques.
Tel est le paysage des menaces en 2026. Cela signifie que la question que toute équipe de sécurité devrait se poser n'est plus de savoir comment empêcher tous les attaquants d'entrer, mais comment s'assurer que lorsque quelqu'un clique, les dommages restent limités.
Quinze minutes ont suffi pour élaborer un prétexte d'attaque
Rachel a commencé par l'essentiel : trouver mes coordonnées.
En utilisant des sites de courtage de données tels que Rocket Reach et ContactOut, elle a obtenu mes adresses électroniques et mes numéros de téléphone en quelques secondes. Elle a ensuite confirmé qu'ils étaient actifs en abusant des flux de réinitialisation des mots de passe sur Facebook, eBay et Twitter.
Il s'agit d'une méthodologie standard de l'attaquant, qui ne nécessite aucun piratage. Cette seule partie lui a pris quelques minutes.
Elle a ensuite intégré ces coordonnées dans un référentiel de données sur les violations appelé Dehashed. Elle m'a trouvé dans huit violations de données distinctes et m'a fait sortir de chez moi, y compris :
- Trois numéros de téléphone
- Trois adresses physiques
- Deux adresses électroniques
- Un nom d'utilisateur
- Ma date de naissance
- Un mot de passe en texte clair
Le fait que ces informations soient disponibles sur le web n'est pas de ma faute, techniquement. Des violations se produisent dans des organisations auxquelles je confiais mes données. Mais l'agresseur ne se soucie pas de savoir qui est responsable.
Puis est venu le prétexte, c'est-à-dire le scénario qu'elle utilisait pour m'inciter à cliquer, à rappeler ou à remettre un justificatif d'identité.
Elle a découvert sur mes réseaux sociaux que j'étais un fervent amateur de cricket et un auditeur assidu d'un podcast humoristique intitulé The Grade Cricketer. Elle a rédigé un courriel en se faisant passer pour deux des animateurs, Sam Perry et Ian Higgins, m'invitant à participer à une brève interview d'auditeurs.
Le lien contenu dans cet e-mail aurait été malveillant.
Voici la partie la plus embarrassante. J'ai déjà envoyé un courriel à Sam et Ian pour leur demander de discuter d'un sujet dans l'émission. Je suis un véritable fan.
Lorsque Rachel a révélé le prétexte à l'écran, ma réaction honnête a été que j'aurais cliqué immédiatement - non pas par négligence mais par excitation. Tous les éléments de ma formation professionnelle en matière de sécurité se seraient évaporés au moment où j'ai pensé que mon podcast préféré avait enfin répondu.
"Les gens ne se rendent pas compte qu'il existe des petites pépites sur Internet qui me permettent de créer un prétexte crédible et gratifiant", a déclaré Rachel.
Le podcast sur le cricket a été cette pépite pour moi.
Rachel a montré qu'une ingénierie sociale efficace réussit à trouver ce qui fait de vous un être humain, qu'il s'agisse d'une passion, d'une relation ou d'un moment d'excitation, et à l'exploiter avec précision.
Plus vous partagez de données publiquement, plus vous donnez de matière première à un attaquant.
Ensuite, j'ai été victime d'une escroquerie
Le clone vocal est venu ensuite.
Rachel avait trouvé un épisode d'un podcast auquel j'avais participé il y a cinq mois. En utilisant environ une minute de ce son, elle a cloné ma voix à l'aide d'un outil d'intelligence artificielle.
C'était ma voix, demandant à un collègue de lire mon mot de passe parce que mon gestionnaire de mots de passe avait cessé de fonctionner juste avant une réunion du conseil d'administration.
Elle l'a ensuite superposé à une vidéo deepfake en temps réel de mon visage. Le kit complet comprenait ce qui ressemblait à un appel Zoom, mon visage à l'écran, ma voix au bout du fil et un scénario plausible de haute pression.
J'ai lu la phrase moi-même pour que le public puisse comparer. La version deepfake était plus fluide que mon véritable accouchement.
Rachel a supposé que quelqu'un au travail, en particulier quelqu'un qui ne me voit qu'occasionnellement en réunion, serait beaucoup plus enclin à se conformer que quelqu'un qui m'entend tous les jours et connaît ma cadence exacte.
Ce qui m'a le plus frappé, c'est la chronologie. Le clone vocal a pris quelques minutes. Le deepfake a été généré en temps réel.
Il y a trois ans, Rachel nous a dit que la constitution d'un dossier OSINT lui prenait près d'une centaine d'heures. Aujourd'hui, l'IA réduit cette durée à vingt ou trente minutes.
La même compression se produit tout au long de la chaîne d'attaque. Le flux de travail de l'attaquant a été industrialisé.
"L'IA modifie l'évolutivité et la crédibilité de l'attaque", a-t-elle déclaré. "Cela vous permet de porter le visage et la voix de quelqu'un d'autre et de devenir une personne différente de manière beaucoup plus crédible.
La montée en puissance de l'ingénierie sociale par l'IA
Le moment du podcast sur le cricket était embarrassant, mais il montre aussi à quel point l 'IA a fondamentalement changé la boîte à outils des attaquants.
Il y a trois ans, Rachel nous a dit qu'il fallait près de cent heures pour monter le dossier qu'elle a constitué sur moi en quinze minutes. Aujourd'hui, l'IA comprime ces données à chaque étape de la chaîne d'attaque.
Le flux de travail de l'attaquant a été industrialisé et le niveau de compétence a considérablement baissé. Un attaquant disposant de ressources modérées peut désormais exécuter le type d'attaque ciblée et personnalisée qui nécessitait auparavant une grande expertise.
Ce qui rend cette situation particulièrement dangereuse, c'est que les tactiques n'ont pas changé, mais que l'IA a considérablement amélioré la vitesse, l'échelle et la crédibilité.
Selon Rachel, l'IA a rendu les attaques existantes presque impossibles à repérer. Et aucune formation ne prépare quelqu'un à une attaque qui lui semble tout à fait personnelle.
A quoi ressemble réellement la chaîne d'attaque d'un bout à l'autre
Notre troisième intervenant était Andrew Lemon, PDG de Red Threat, qui complète le tableau du côté des attaquants en tant que hacker de l'équipe rouge.
Après que Rachel a obtenu l'accès au réseau, le travail d'Andrew consiste à montrer jusqu'où les attaquants peuvent se propager.
Les schémas qu'il observe le plus souvent sont les suivants :
- Des réseaux plats qui permettent un mouvement latéralillimité
- Comptes de service à privilèges excessifs qui peuvent être utilisés pour accéder aux fonctions d'administration du domaine.
- Des fichiers partagés non protégés contenant des données sensibles
- Systèmes existants situés complètement en dehors du périmètre de surveillance
Dans le nuage, les développeurs déploient rapidement des outils d'IA et des produits minimum viables, tandis que la sécurité les rattrape plus tard. La validation du concept devient une infrastructure de production sans aucun contrôle.
Comme l'a dit Andrew, "il n'y a rien de plus permanent qu'un changement temporaire".
La segmentation est la seule décision architecturale qui, selon Andrew, le frustre le plus en tant que pirate informatique. Ses options s'épuisent rapidement lorsque les utilisateurs sont confinés à leurs propres segments de réseau, lorsque les mouvements latéraux sont bloqués par la politique interne et lorsque les attaques par relais ne peuvent pas franchir les limites des VLAN.
Il a décrit les semaines passées à l'intérieur de segments isolés où il n'y avait rien d'autre à attaquer que des commutateurs et des imprimantes. C'est le bon résultat d'un exercice de l'équipe rouge.
Ce qu'une attaque m'a appris sur la cybersécurité
Ayant été le destinataire de cette chaîne d'attaque, même dans un cadre contrôlé, voici ce qui a changé dans ma façon de penser.
Votre surface d'attaque publique est plus grande que vous ne le pensez, tout comme celle de vos employés. Tout ce qui vous concerne en ligne constitue une matière première pour un pirate informatique. Cela signifie que nous devons élaborer des protocoles qui ne reposent pas sur l'hypothèse que les employés sauront reconnaître une attaque sophistiquée et personnalisée lorsqu'elle se présentera.
Plus important encore, investissez dans ce qui limite le rayon d'action après le vol de la carte d'identité. La microsegmentation est le contrôle le plus important. Lorsque les charges de travail ne peuvent communiquer qu'avec les systèmes spécifiques qu'elles doivent atteindre, un attaquant disposant d'un identifiant volé se heurte presque immédiatement à un mur.
L'objectif est de faire en sorte que le parcours de l'attaquant, de l'identification initiale aux retombées significatives, soit si long et si bruyant que l'endiguement intervienne bien avant que les dégâts ne soient causés.
Comme elle l'a dit, lorsqu'elle rencontre un environnement armé d'outils d'endiguement des brèches tels que la microsegmentation, sa réaction est que cet engagement va être douloureux.
Pour un acteur criminel qui n'a pas d'obligation contractuelle de continuer à essayer, cette friction est souvent suffisante.
Regardez le webinaire sur demande, et contactez-nous dès aujourd'hui pour apprendre comment Illumio peut vous aider à créer une microsegmentation.
.webp)
