L’intelligence artificielle vous aide au quotidien et dans votre travail ? Vous n’êtes pas seul. Les cybercriminels aussi l’utilisent. Leurs escroqueries sont désormais plus ciblées, plus convaincantes, et leur portée beaucoup plus grande. Des experts tirent la sonnette d’alarme.

« Autrefois, il fallait une expertise durement acquise pour devenir un cybercriminel compétent. Aujourd’hui, il suffit d’une connexion Internet et d’une requête soigneusement formulée », lance Hajar Moudoud, professeure au Département d’informatique et d’ingénierie de l’Université du Québec en Outaouais.

Sans détour, cette spécialiste des questions de cybercriminalité et d’intelligence artificielle (IA) indique que les fraudes se sont largement « démocratisées » depuis l’essor récent de cette technologie.

Karim Jerbi, directeur de l’Union neurosciences et intelligence artificielle du Québec (UNIQUE), est du même avis. « Les avancées en IA abaissent considérablement le seuil d’entrée dans la cybercriminalité », constate-t-il.

En quelques clics, un fraudeur peut élaborer une fausse offre d’emploi, se faire passer pour un chasseur de têtes et vous convaincre de lui donner vos informations personnelles. Il peut aussi usurper votre voix, appeler un de vos proches et, en prétextant une urgence, lui demander de transférer un montant d’argent. Ou encore : un fraudeur peut créer un commerce en ligne de toutes pièces pour vous pousser à faire un achat dont vous ne verrez jamais la couleur.

De la fraude incognito

« Les attaques peuvent être hautement personnalisées. L’IA peut exploiter des informations publiques issues des réseaux sociaux ou de profils professionnels pour créer des messages qui semblent authentiques et ciblés, ce qui rend la fraude beaucoup plus crédible », explique Hajar Moudoud.

Dans un cas d’une ampleur spectaculaire, une entreprise britannique s’est ainsi fait dérober l’équivalent de 35 millions de dollars canadiens. Il y a deux ans, un employé de la société d’ingénierie Arup a reçu un courriel d’hameçonnage prétendument envoyé par le directeur financier de la société, lui demandant d’autoriser un transfert d’argent. D’abord sceptique, l’employé a fini par participer à une rencontre vidéo avec le directeur financier et plusieurs collègues, durant laquelle ceux-ci l’ont convaincu d’aller de l’avant avec le transfert.

Le hic, c’est que personne de son équipe n’a réellement participé à l’échange. Les escrocs ont réussi à berner leur victime grâce à des vidéos hypertruquées — deepfakes en anglais — et un système d’ingénierie sociale méticuleusement préparé.

D’après une récente étude menée par des chercheurs de l’Université Columbia et de l’Université de Chicago, au moins la moitié des spams seraient désormais générés à l’aide de « grands modèles de langage ». Pour arriver à ce résultat, les chercheurs ont analysé près de 500 000 messages malveillants recueillis avant et après le lancement de ChatGPT.

Selon Karim Jerbi, « l’IA ne crée pas nécessairement de nouvelles formes de fraude », mais « elle rend surtout les méthodes existantes plus crédibles, plus rapides et beaucoup plus faciles à déployer à grande échelle ».

Quand le pilote automatique dérape

Pour Hajar Moudoud, « nous entrons dans une nouvelle ère des cyberattaques ». Selon elle, la plus récente menace en matière de cybercriminalité concerne l’IA agentique — qui désigne les systèmes d’IA autonomes.

Elyes Manai, professeur en cybersécurité à l’Université du Québec à Chicoutimi, abonde dans le même sens. Un agent d’IA est capable d’entreprendre des actions par lui-même, explique M. Manai. Imaginez un assistant d’intelligence artificielle, qui aurait le contrôle de votre appareil et qui pourrait réaliser des tâches de routine à votre place.

« Un des risques, c’est que l’agent IA pourrait, par exemple, sans aucune malice, ouvrir un fichier en pièce jointe dans un courriel spam… et accepter un virus par erreur », illustre M. Manai.

Dans d’autres cas, l’IA agentique pourrait carrément être utilisée par les malfaiteurs afin de piloter des attaques automatisées, selon les experts sondés. « Concrètement, on peut déjà envisager des scénarios où un agent d’IA identifie automatiquement des employés sur LinkedIn, leur envoie des messages d’hameçonnage sur mesure, relance ceux qui hésitent, adapte son ton en fonction des réactions, puis tente d’obtenir des accès ou de déclencher des transferts frauduleux », évoque Karim Jerbi.

Retourner l’arme contre les fraudeurs

Anthropic, la maison mère de Claude, a annoncé dans les dernières semaines la sortie de son nouvel outil Mythos, capable de détecter n’importe quelle faille de sécurité afin d’y remédier. Toutefois, de crainte que l’outil ne tombe entre les mains de malfaiteurs qui l’exploiteraient à mauvais escient, Anthropic a décidé d’en limiter l’accès à une poignée de grandes entreprises.

Dans les derniers jours, OpenAI — propriétaire de ChatGPT et grande rivale d’Anthropic — a à son tour dévoilé un dispositif taillé pour la cybersécurité intitulé Daybreak.

Pour Elyes Manai, il est impératif de s’adapter à la menace grandissante. « Si les pirates sont 100 fois plus rapides et 100 fois plus efficaces, les équipes de défense en cybersécurité n’ont pas le choix de s’adapter elles aussi. Donc, nous aussi, on doit utiliser l’IA pour analyser les vulnérabilités et contrer les fraudes », plaide l’expert.