Reuters a récemment publié une expérience conjointe avec Harvard, où ils ont demandé à des chatbots d’IA populaires comme Grok, Chatgpt, Deepseek et d’autres pour élaborer le «e-mail de phishing parfait». Les e-mails générés ont ensuite été envoyés à 108 bénévoles, dont 11% ont cliqué sur les liens malveillants.
Avec une simple invite, les chercheurs étaient armés de messages très persuasifs capables de tromper de vraies personnes. L’expérience devrait servir de vérification de la réalité sévère. Aussi perturbateur que le phishing ait été au fil des ans, l’IA le transforme en une menace plus rapide, moins chère et plus efficace.
Pour 2026, la détection des phisses de l’IA doit devenir une priorité absolue pour les entreprises qui cherchent à être plus en sécurité dans un environnement de menace de plus en plus complexe.
L’émergence du phishing de l’IA comme menace majeure
Un conducteur majeur est la montée en puissance du phishing-as-a-service (PHAAS). Des plateformes Web Dark comme Lighthouse et Lucid proposent des kits d’abonnement qui permettent aux criminels peu qualifiés de lancer des campagnes sophistiquées.
Des rapports récents suggèrent que ces services ont généré plus de 17 500 domaines de phishing dans 74 pays, ciblant des centaines de marques mondiales. En seulement 30 secondes, les criminels peuvent tourner des portails de connexion clonés pour des services comme Okta, Google ou Microsoft qui sont pratiquement les mêmes que la vraie chose. Les infrastructures de phishing désormais disponibles à la demande, les obstacles à l’entrée de la cybercriminalité sont presque inexistants.
Dans le même temps, les outils d’IA génératifs permettent aux criminels de rédiger des e-mails de phishing convaincants et personnalisés en quelques secondes. Les e-mails ne sont pas un spam générique. En grattant les données de LinkedIn, des sites Web ou des violations passées, les outils AI créent des messages qui reflètent un contexte commercial réel, séduisant les employés les plus prudents à cliquer.
La technologie alimente également un boom en phishing audio et vidéo DeepFake. Au cours de la dernière décennie, les attaques liées à Deepfake ont augmenté de 1 000%. Les criminels usurpent généralement les PDG, les membres de la famille et les collègues de confiance sur les canaux de communication comme Zoom, WhatsApp et Teams.
Les défenses traditionnelles ne le font pas
La détection basée sur la signature utilisée par les filtres de courrier électronique traditionnelles est insuffisante contre le phishing propulsé par l’IA. Les acteurs de la menace peuvent facilement faire tourner leur infrastructure, y compris les domaines, les lignes d’objet et d’autres variations uniques qui glissent les mesures de sécurité statiques.
Une fois que le Phish arrive dans la boîte de réception, il appartient maintenant à l’employé de décider de lui faire confiance. Malheureusement, étant donné à quel point les e-mails de phishing de l’IA d’aujourd’hui sont convaincants, il est probable que même un employé bien formé fera éventuellement une erreur. La vérification des points pour une mauvaise grammaire est une chose du passé.
De plus, la sophistication des campagnes de phishing n’est peut-être pas la principale menace. L’échelle des attaques est ce qui est le plus inquiétant. Les criminels peuvent désormais lancer des milliers de nouveaux domaines et des sites clonés en quelques heures. Même si une vague est retirée, un autre le remplace rapidement, garantissant un flux constant de nouvelles menaces.
C’est une tempête d’IA parfaite qui nécessite une approche plus stratégique pour gérer. Ce qui a fonctionné contre les tentatives de phishing brut d’hier n’est pas un match pour l’échelle et la sophistication des campagnes modernes.
Stratégies clés pour la détection de phishing IA
Comme les experts en cybersécurité et les organes directeurs le conseillent souvent, une approche multicouche est la meilleure pour tout la cybersécurité, y compris la détection des attaques de phishing IA.
La première ligne de défense est une meilleure analyse des menaces. Plutôt que des filtres statiques qui s’appuient sur une intelligence de menace potentiellement dépassée, les modèles de PNL formés sur des modèles de communication légitimes peuvent capter des écarts subtils de ton, de phrasé ou de structure qu’un humain formé pourrait manquer.
Mais aucune quantité d’automatisation ne peut remplacer la valeur de la sensibilisation à la sécurité des employés. Il est très probable que certains e-mails de phishing de l’IA se retrouvent éventuellement à la boîte de réception, donc avoir une main-d’œuvre bien formée est nécessaire pour la détection.
Il existe de nombreuses méthodes de formation de sensibilisation à la sécurité. La formation basée sur la simulation est la plus efficace, car elle maintient les employés préparés à ce à quoi ressemble réellement l’IA. Les simulations modernes vont au-delà de la simple formation «repérer la faute de frappe». Ils reflètent de vraies campagnes liées au rôle de l’utilisateur afin que les employés soient préparés pour le type exact d’attaques auxquelles ils sont les plus susceptibles de faire face.
L’objectif n’est pas de tester les employés, mais de construire la mémoire musculaire, de sorte que la déclaration de l’activité suspecte vient naturellement.
La dernière couche de défense est UEBA (User and Entity Behavior Analytics), qui garantit qu’une tentative de phishing réussie n’entraîne pas un compromis à grande échelle. Les systèmes UEBA détectent des activités inhabituelles d’utilisateurs ou de systèmes pour avertir les défenseurs d’une intrusion potentielle. Habituellement, c’est sous la forme d’une alerte, peut-être une connexion à partir d’un emplacement inattendu, ou des modifications inhabituelles de boîte aux lettres qui ne sont pas conformes à la politique informatique.
Conclusion
L’IA fait progresser et l’échelle de phishing à des niveaux qui peuvent facilement submerger ou contourner les défenses traditionnelles. Avant 2026, les organisations doivent hiérarchiser la détection basée sur l’IA, la surveillance continue et la formation de simulation réaliste.
Le succès dépendra de la combinaison de la technologie avancée avec la préparation humaine. Ceux qui peuvent trouver cet équilibre sont bien placés pour être plus résilients car les attaques de phishing continuent d’évoluer avec l’IA.
Source de l’image: Unplash
