Autrefois le domaine des espions d’élite et des escrocs, l’ingénierie sociale est désormais à la portée de quiconque possède une connexion internet – et l’IA en est le complice. Dopées par les outils génératifs et la technologie des deepfakes, les attaques d’ingénierie sociale d’aujourd’hui ne sont plus de grossières tentatives de phishing. Elles sont ciblées, psychologiquement précises et terriblement évolutives.
Bienvenue dans l’Ingénierie Sociale 2.0, où les manipulateurs n’ont pas besoin de vous connaître personnellement. Leur IA le fait déjà.
La Tromperie au niveau des machines
L’ingénierie sociale fonctionne parce qu’elle contourne les pare-feux et les défenses techniques. Elle attaque la confiance humaine. Des fausses alertes bancaires aux princes nigérians perdus de vue, ces escroqueries reposaient traditionnellement sur des accroches génériques et une tromperie peu élaborée. Mais cela a changé, et continue de changer.
« L’IA augmente et automatise la manière dont l’ingénierie sociale est menée », déclare Anna Collard, SVP de la Stratégie de Contenu&Évangéliste chez KnowBe4 Afrique. « Les marqueurs de phishing traditionnels comme les fautes d’orthographe ou la mauvaise grammaire appartiennent au passé. L’IA peut imiter les styles d’écriture, générer des messages émotionnellement résonnants, et même recréer des voix ou des visages (https://apo-opa.co/409nwPV) – le tout en quelques minutes. »
Le résultat ? Les cybercriminels disposent désormais des capacités de profileurs psychologiques. En récupérant des données accessibles au public – des réseaux sociaux aux biographies d’entreprises – l’IA peut construire des dossiers personnels détaillés. « Au lieu d’appâts uniques pour tous, l’IA permet aux criminels de créer des attaques sur mesure », explique Collard. « C’est comme donner à chaque escroc l’accès à sa propre agence de renseignement numérique. »
Le nouveau visage de la manipulation : Les Deepfakes
L’une des évolutions les plus effrayantes de la tromperie alimentée par l’IA est la montée en puissance des deepfakes – des vidéos et audios synthétiques conçus pour imiter de vraies personnes. « Il existe des cas documentés où des voix générées par l’IA ont été utilisées pour imiter des PDG et tromper le personnel pour qu’il vire des millions (https://apo-opa.co/4e4JBVv) », note Collard.
En Afrique du Sud, une vidéo deepfake récente circulant sur WhatsApp présentait un faux endossement convaincant du Commissaire de la FSCA, Unathi Kamlana, faisant la promotion d’une plateforme de trading frauduleuse. Nedbank a dû se distancer publiquement de l’escroquerie (https://apo-opa.co/4e4JCJ3).
« Nous avons vu des deepfakes utilisés dans des escroqueries romantiques, des manipulations politiques, même de l’extorsion », dit Collard. Une tactique émergente consiste à simuler la voix d’un enfant pour convaincre un parent qu’il a été enlevé (https://apo-opa.co/3HY5WrR) – avec bruit de fond, sanglots, et un faux ravisseur demandant de l’argent.
« Ce n’est plus seulement de la tromperie », prévient Collard. « C’est de la manipulation psychologique à grande échelle. »
L’effet Scattered Spider
Un groupe de cybercriminalité qui illustre cette menace est Scattered Spider. Connu pour sa maîtrise de l’anglais et sa profonde compréhension de la culture d’entreprise occidentale, ce groupe se spécialise dans des campagnes d’ingénierie sociale très convaincantes. « Ce qui les rend si efficaces », note Collard, « c’est leur capacité à paraître légitimes, à établir rapidement des rapports, et à exploiter les processus internes – trompant souvent le personnel informatique ou les agents du service d’assistance. » Leur approche centrée sur l’humain, amplifiée par les outils d’IA, comme l’utilisation de deepfakes audio pour usurper les voix des victimes afin d’obtenir un accès initial, montre comment la combinaison de la familiarité culturelle, de la perspicacité psychologique et de l’automatisation redéfinit l’apparence des cybermenaces. Il ne s’agit pas seulement d’un accès technique – il s’agit de confiance, de timing et de manipulation.
L’ingénierie sociale à grande échelle
Ce qui nécessitait autrefois des escrocs habiles des jours ou des semaines d’interaction – établir la confiance, créer des prétextes crédibles et influencer subtilement le comportement – peut désormais être fait par l’IA en un clin d’œil. « L’IA a industrialisé les tactiques de l’ingénierie sociale », dit Collard. « Elle peut effectuer un profilage psychologique, identifier les déclencheurs émotionnels et délivrer une manipulation personnalisée avec une rapidité sans précédent. »
Les étapes classiques – reconnaissance, prétexte, établissement de rapports – sont désormais automatisées, évolutives et infatigables. Contrairement aux attaquants humains, l’IA ne devient pas négligente ou fatiguée ; elle apprend, s’adapte et s’améliore à chaque interaction.
Le plus grand changement ? « Personne n’a plus besoin d’être une cible de haute valeur », explique Collard. « Une réceptionniste, un stagiaire RH ou un agent du service d’assistance ; tous peuvent détenir les clés du royaume. Il ne s’agit pas de qui vous êtes – il s’agit de quel accès vous avez. »
Construire la résilience cognitive
Dans ce nouveau terrain, les solutions techniques seules ne suffiront pas. « La sensibilisation doit aller au-delà de ‘ne cliquez pas sur le lien' », dit Collard. Elle préconise de construire une ‘pleine conscience numérique’ et une ‘résilience cognitive’ – la capacité de faire une pause, d’interroger le contexte et de résister aux déclencheurs émotionnels (https://apo-opa.co/3FF6Zwn).
Cela signifie :
- Former le personnel à reconnaître la manipulation émotionnelle, et pas seulement les URL suspectes.
- Mener des simulations utilisant des appâts générés par l’IA, et non des modèles de phishing dépassés.
- Répéter une prise de décision calme et délibérée sous pression, pour contrer la manipulation basée sur la panique.
Collard recommande également des tactiques non conventionnelles. « Demandez aux personnes interrogées par les RH de placer leur main devant leur visage pendant les appels vidéo – cela peut aider à repérer les deepfakes dans les escroqueries d’embauche », dit-elle. Les familles et les équipes devraient également envisager des mots de code ou des secrets pré-convenus pour les communications d’urgence, au cas où des voix générées par l’IA imiteraient des êtres chers.
Défense en profondeur – Humain et Machine
Alors que les attaquants ont désormais des outils d’IA, les défenseurs aussi. L’analyse comportementale, la numérisation de contenu en temps réel et les systèmes de détection d’anomalies évoluent rapidement. Mais Collard prévient : « La technologie ne remplacera jamais la pensée critique. Les organisations qui gagneront seront celles qui combineront l’intuition humaine avec la précision de la machine. »
Et avec des appâts d’IA devenant plus persuasifs, la question n’est plus de savoir si vous serez ciblé – mais si vous serez préparé. « C’est une course », conclut Collard. « Mais je reste optimiste. Si nous investissons dans l’éducation, dans la pensée critique et la pleine conscience numérique, dans la discipline de remettre en question ce que nous voyons et entendons – nous aurons une chance de nous battre. »
Distribué par APO Group pour KnowBe4.
