Hameçonnage Comment évolue cette menace

Mot 2 Passe

19/05/2023

Catégorie

🤖

Technologie

Transcription

Afficher la transcription complète de la vidéo

00:00 Le retour de Tech Hebdo avec notre rendez-vous cybersécurité.

00:04 Jérôme, et c'est avec Benoît Grenonval qui est avec nous.

00:07 Qui d'autre ?

00:08 Salut Benoît.

00:09 Bonjour messieurs.

00:10 Ravie de vous retrouver.

00:11 On se retrouve régulièrement, Benoît, pour décrypter un sujet tech, un sujet de cybersécurité.

00:17 Et alors là, on est en plein dans l'actualité puisqu'on en a déjà parlé la semaine dernière,

00:22 de chat GPT, cet outil d'intelligence artificielle plein de promesses

00:27 qui peut être détourné ou en tout cas utilisé pour faire des attaques, et notamment du hamsonnage.

00:33 De l'hamsonnage, on voit que c'est une tendance qui est en très forte hausse.

00:36 Toujours en 2022, l'hamsonnage a à peu près une vingtaine d'années et encore en 2022, ça continue de croître.

00:43 C'est l'une des méthodes les plus simples et des premières méthodes pour rentrer soit dans un système d'information,

00:49 on le voit dans les entreprises, dans les administrations,

00:51 mais également pour subtiliser des informations aux particuliers.

00:54 On rappelle en une seconde ce que c'est que l'hamsonnage, c'est-à-dire un faux email.

00:58 Alors un faux email et/ou sur différents supports maintenant.

01:02 Oui, un SMS.

01:03 Auparavant, c'était juste email.

01:04 Ça peut être un téléphone.

01:05 Un smartphone. C'est également un appel.

01:08 Et on le voit de plus en plus dans les appels pour des fraudes bancaires.

01:12 D'accord.

01:13 Donc l'hamsonnage, très répandu, très utilisé.

01:16 Et la difficulté pour les cybercriminels, c'est de pouvoir créer des messages qui soient à la fois réalistes,

01:23 quand ce n'est pas notre propre langue,

01:25 mais également des messages qui vont passer en dessous des radars, des systèmes de détection,

01:29 et du premier rempart qu'est l'humain.

01:32 Donc pour pouvoir créer ces messages-là, on sait qu'au début, il y avait beaucoup de fautes,

01:36 beaucoup moins de fautes aujourd'hui grâce à l'intelligence artificielle des traducteurs,

01:40 et encore moins de fautes et beaucoup plus de cohérence dans les messages

01:45 grâce à des outils de type chat GPT à qui on va pouvoir demander de rédiger des fausses annonces,

01:51 des demandes qui vont être circonstanciées.

01:54 Et puis surtout, on va pouvoir les répéter quasiment à l'infini

01:57 et créer des nouveaux messages qui vont être les plus convaincants.

02:02 Oui, avec peu de fautes d'orthographe, dans n'importe quelle langue,

02:05 avec une cohérence dans l'écrit, c'est ça qui est fort.

02:07 Exactement. Il suffit de lancer des idées, c'est assez fascinant.

02:12 Et tu as testé, ça fonctionne.

02:14 Alors, quand on teste, le système de prime abord est bien fait

02:18 parce que quand on demande s'il peut nous écrire un email d'hameçonnage,

02:22 chat GPT dit non. C'est en dehors de « je n'ai pas le droit »

02:27 et il nous explique ce que c'est l'hameçonnage. Donc, c'est assez didactique.

02:30 Et puis, si on lui demande tout simplement d'écrire un email

02:33 qui est en correspondance avec ce que l'on voudrait envoyer comme hameçonnage,

02:36 au final, chat GPT fait son job.

02:39 Il n'a pas la subtilité de compréhension.

02:42 Même si on lui a demandé de nous écrire un email d'hameçonnage juste avant.

02:45 Il n'a pas… Donc, vraiment une belle techno.

02:49 Et ça va nous demander, à nous utilisateurs, d'être encore plus vigilants,

02:53 même si on est des aficionados de la tech,

02:56 parce que l'algorithme est de plus en plus puissant.

03:00 Alors, c'est pour viser quel type d'utilisateur, quel type de plateforme, etc.?

03:05 Alors, toutes les plateformes. L'objectif est de récupérer des informations.

03:08 On a vu des arnaques à la vignette Critère.

03:11 On a vu des arnaques à la carte Vitale.

03:14 Et puisque ces deux objets sont gratuits, une vignette Critère,

03:17 il suffit de s'enregistrer et de la demander. On l'a gratuitement.

03:20 Les hameçonneurs vont nous envoyer des messages pour nous alerter sur le fait qu'il en faut une.

03:26 Et au lieu de nous emmener sur le site officiel, ils vont nous emmener sur leur site

03:29 et/ou nous faire payer, rentrer nos coordonnées bancaires et nous faire payer.

03:32 De même, pour la carte Vitale, ils vont nous demander des frais de port

03:36 pour nous envoyer une nouvelle carte Vitale.

03:38 Ce qui, bien entendu, est totalement gratuit.

03:41 Et puis, surtout, pour des réseaux sociaux, des réseaux sociaux bien connus et dans l'actualité,

03:47 Twitter en fait partie. On sait que les cybercriminels utilisent l'actualité à leur profit.

03:54 Le Qatar, la guerre en Ukraine, plus loin, mais bientôt, les Jeux olympiques 2024.

04:01 On a déjà vu, d'ailleurs, les billets qui sont disponibles à la loterie

04:05 qui en fait un effet qui permet aux cybercriminels de s'engouffrer dans l'opportunité que cela représente.

04:11 Et Twitter, avec les comptes certifiés, les comptes payants,

04:17 et les cybercriminels utilisent cet objectif.

04:20 On reçoit un mail, c'est ça, nous indiquant que la politique d'utilisation de Twitter a changé,

04:26 qu'il faut mettre à jour, qu'il faut se connecter.

04:28 Là, on donne ces identifiants Twitter. Là, ce n'est pas forcément pour de l'argent, d'ailleurs.

04:32 Ce n'est pas que pour de l'argent. On va avoir l'objectif de récupérer un grand nombre de comptes Twitter,

04:38 notamment, et c'est important de le préciser, ceux qui ne sont pas protégés par l'authentification de facteurs.

04:43 D'où l'intérêt d'activer la double authentification.

04:47 Exactement.

04:48 Comme sur Twitter, comme sur tous les autres services.

04:50 Bien sûr, comme sur la plupart des applis bancaires aujourd'hui, etc.

04:54 Juste un mot, Benoît, pour revenir quelques secondes sur ChatJPT.

04:58 Est-ce qu'on n'est pas en train d'ouvrir la boîte de Pandore, d'arnaques diverses et variées,

05:02 avec cette nouvelle intelligence artificielle qui, on le voit, est plutôt malléable, en fait ?

05:07 On parle d'hameçonnage, mais on peut imaginer tout type d'arnaque, finalement, et dans toutes les langues.

05:12 C'est ça qui est intéressant.

05:13 Dans toutes les langues, j'ai également vu des exemples où un codeur demandait à ChatJPT de lui créer un widget,

05:19 et ChatJPT a parfaitement réalisé le langage.

05:22 Ça, ce n'est pas du piratage.

05:24 On peut peut-être trouver une API détournée ou quelque chose comme ça.

05:29 Complètement.

05:30 Alors, malheureusement, oui, mais c'est aussi à nous de prévenir les utilisateurs

05:37 et de faire en sorte qu'il y ait un contrôle qui soit fait a posteriori,

05:41 parce qu'on ne peut pas bloquer l'innovation, juste parce qu'il y a des risques.

05:45 C'est clair.

05:46 Et cette intelligence artificielle ne sera jamais assez intelligente pour séparer les bonnes choses des mauvaises choses.

05:53 Il y aura toujours la malice humaine qui arrivera à détourner l'outil ChatJPT.

05:58 Complètement.

05:59 Mais on pourrait aussi utiliser ChatJPT pour vérifier son code.

06:02 ChatJPT, y a-t-il des failles dans mon code ?

06:05 Et là, il a une très grande base de données et il voit s'il y a des failles ou pas dans notre code.

06:10 Et rappelons qu'il avait été conçu pour ça, d'ailleurs, pour produire du code, etc.

06:16 Au départ, oui.

06:17 Merci Benoît pour tous ces bons conseils sujets, là aussi très intéressants.

06:21 Benoît Grenoble, expert CBS Security chez EZFrance, qu'on retrouve régulièrement dans Tech Hebdo.

Recommandations