Les e-mails de phishing générés via l’intelligence artificielle sont-ils efficaces ? Peuvent-ils même surpasser les messages élaborés par des humains au point de réussir à piéger davantage de victimes ? SoSafe, un spécialiste de la sensibilisation à la cybersécurité, a mené l’enquête. La rédaction en a fait un match et établit un score.
L’analyse a porté sur 1 493 attaques de phishing, simulées en mars 2023 sur la plateforme de sensibilisation SoSafe, et a impliqué trois entreprises en Europe. Elle visait à évaluer la probabilité de succès des modèles d’hameçonnage générés par l’IA. Parmi ces attaques simulées, 747 ont été générées par l’IA et 746 par des humains, précise à Solutions Numériques un membre de l’équipe de SoSafe. Le test a été effectué avec Chat GPT-3 en se basant sur un modèle simple qui n’a pas été retravaillé, nous précise-t-il.
Alors, quels résultats ? 78 % des e-mails de phishing rédigés par l’IA sont ouverts, constate SoSafe. Est-ce exceptionnel ? Non, nous répond le spécialiste, il est identique au pourcentage d’ouverture de mails de phishing générés par des êtres humains.
1 partout.
Pour les taux de clics, à savoir le pourcentage moyen d’e-mails ayant fait l’objet d’un clic sur des contenus tels que des liens ou des pièces jointes, l’IA fait même moins bien : 21 % contre 27 %.
Phishing manuel : 2 – Phishing IA : 1.
Reste le taux d’interaction, c’est-à-dire le pourcentage de personnes ayant fourni des informations supplémentaires (par exemple des mots de passe) dans des champs de saisie sur un site web lié. Cette fois, l’IA gagne : 65 % vs 60 %.
2 partout.
Mais la rédaction accorde un point bonus à l’IA. Car la rédaction des mails de phishing avec l’IA est 40 % plus rapide, au moins, selon le spécialiste, dont l’équipe d’ingénierie sociale a simplement comparé les durées d’élaboration des deux modes d’écriture. “Cela signifie que les hackers peuvent mener davantage d’attaques de ce type en moins de temps, et se traduit en fin de compte par des taux de réussite plus élevés. »
Résultat final ? Phishing manuel : 2 – Phishing IA : 3.
D’ores et déjà, SoSafe travaille sur d’autres tests en utilisant Chat GPT-4 “avec une approche plus personnalisée, afin d’en explorer le potentiel pour les cybercriminels. À l’issue de ces nouveaux tests, nous prévoyons un taux de clics plus élevés“, estime-t-elle.
