Les e-mails de phishing générés via l’intelligence artificielle sont-ils efficaces ? Peuvent-ils même surpasser les messages élaborés par des humains au point de réussir à piéger davantage de victimes ? SoSafe, un spécialiste de la sensibilisation à la cybersécurité, a mené l’enquête. La rédaction en a fait un match et établit un score.
L’analyse a porté sur 1 493 attaques de phishing, simulées en mars 2023 sur la plateforme de sensibilisation SoSafe, et a impliqué trois entreprises en Europe. Elle visait à évaluer la probabilité de succès des modèles d’hameçonnage générés par l’IA. Parmi ces attaques simulées, 747 ont été générées par l’IA et 746 par des humains, précise à Solutions Numériques un membre de l’équipe de SoSafe. Le test a été effectué avec Chat GPT-3 en se basant sur un modèle simple qui n’a pas été retravaillé, nous précise-t-il.
Alors, quels résultats ? 78 % des e-mails de phishing rédigés par l’IA sont ouverts, constate SoSafe. Est-ce exceptionnel ? Non, nous répond le spécialiste, il est identique au pourcentage d’ouverture de mails de phishing générés par des êtres humains.
1 partout.
Pour les taux de clics, à savoir le pourcentage moyen d’e-mails ayant fait l’objet d’un clic sur des contenus tels que des liens ou des pièces jointes, l’IA fait même moins bien : 21 % contre 27 %.
Phishing manuel : 2 – Phishing IA : 1.
Reste le taux d’interaction, c’est-à-dire le pourcentage de personnes ayant fourni des informations supplémentaires (par exemple des mots de passe) dans des champs de saisie sur un site web lié. Cette fois, l’IA gagne : 65 % vs 60 %.
2 partout.
Mais la rédaction accorde un point bonus à l’IA. Car la rédaction des mails de phishing avec l’IA est 40 % plus rapide, au moins, selon le spécialiste, dont l’équipe d’ingénierie sociale a simplement comparé les durées d’élaboration des deux modes d’écriture. « Cela signifie que les hackers peuvent mener davantage d’attaques de ce type en moins de temps, et se traduit en fin de compte par des taux de réussite plus élevés. »
Résultat final ? Phishing manuel : 2 – Phishing IA : 3.
D’ores et déjà, SoSafe travaille sur d’autres tests en utilisant Chat GPT-4 « avec une approche plus personnalisée, afin d’en explorer le potentiel pour les cybercriminels. À l’issue de ces nouveaux tests, nous prévoyons un taux de clics plus élevés« , estime-t-elle.
