Adieu l'arnaque évidente, bonjour le « semble légitime » : la montée de l'hameçonnage par IA

La plupart des gens reconnaissent l’hameçonnage traditionnel parce qu’ils le côtoient depuis des années. Leurs boîtes de réception personnelles et leurs téléphones regorgent de faux messages de livraison, de courriels du type « votre compte bancaire est bloqué » et — comment passer sous silence — de « demandes urgentes d’un diplomate » qui sollicite de l’aide pour sortir une somme astronomique de son pays. Ces tentatives d’arnaque flagrantes, souvent risibles, ne surprennent plus personne; elles font désormais partie du décor.

Ce qui a changé, en revanche, c’est la vitesse et la qualité de la tromperie. L’ingénierie sociale, autrefois bâclée et facile à écarter, est maintenant produite en série grâce à l’IA générative. Le résultat : une rédaction plus soignée, moins de signaux d’alarme évidents, et des messages qui sonnent davantage comme de vrais collègues ou fournisseurs. Le rapport Microsoft Digital Defense 2025 indique que l’hameçonnage par IA peut être nettement plus efficace que les campagnes traditionnelles, et le rapport Verizon 2025 sur les violations de données (DBIR) précise que les textes générés par IA dans les courriels malveillants ont doublé au cours des deux dernières années.

Pour les professionnels des TI, ce changement n’est pas une surprise. Beaucoup l’avaient anticipé, comprennent les schémas et savent comment se protéger. Le problème plus fondamental est que de nombreux employés et clients non techniques restent ancrés dans une conception dépassée de l’hameçonnage : des courriels et des textes suspects faciles à repérer. Les leurres d’aujourd’hui, alimentés par l’IA, ne semblent pas toujours douteux, et ils ciblent de plus en plus les zones où les dégâts sont les plus importants : les systèmes d’identité d’entreprise, les communications internes et les flux financiers.

L’hameçonnage par IA : un problème en milieu de travail, pas seulement personnel

L’hameçonnage traditionnel ciblant les comptes personnels visait généralement le vol d’identifiants, la fraude par carte de paiement ou la prise de contrôle de comptes. Désormais, l’hameçonnage par IA en milieu de travail ajoute deux facteurs déterminants :

• L’identité d’entreprise est un passe-partout. Une boîte de courriel compromise ou une session d’authentification unique suffit pour déclencher de l’hameçonnage interne, du vol de données, de la fraude aux fournisseurs et de la persistance. Les données d’intervention sur incident de Microsoft révèlent que 28 % des violations ont été initiées par hameçonnage ou ingénierie sociale. Voilà pourquoi l’argument « c’est juste un clic » n’est pas anodin : c’est souvent la première pièce du domino.
• Les processus métier déplacent de l’argent. Les changements de factures, les redirections de paie, les arnaques aux cartes-cadeaux et l’intégration de nouveaux fournisseurs sont conçus pour aller vite, pas pour être examinés à la loupe. Les données du FBI IC3 illustrent l’ampleur du phénomène : en 2024, l’IC3 a reçu 21 442 plaintes liées à la compromission de courriel d’entreprise, pour des pertes ajustées dépassant 2,7 milliards USD.

Exemples d’hameçonnage par IA

Voici quelques exemples que les professionnels des TI peuvent partager avec leurs collègues et clients non techniques pour les aider à comprendre à quoi ressemble l’hameçonnage par IA en milieu de travail. Cette liste n’est pas exhaustive, mais elle met en lumière quelques-uns des pièges les plus courants :

• Le piège de « l’urgence de la direction » : un message qui semble venir du PDG demande à quelqu’un de l’équipe des finances d’effectuer un virement urgent avant une réunion du conseil (ou un autre événement d’importance). Souvent, l’attaquant tente rapidement de déplacer la conversation vers un numéro personnel parce qu’il « est en déplacement ».
• Le leurre du document RH : un message prétend concerner une plainte d’un candidat, une mise à jour de politique ou des documents de fin d’emploi, et redirige le destinataire vers une fausse page de connexion Microsoft 365.
• La substitution de facture fournisseur : un vrai fil de discussion avec un fournisseur est détourné ou usurpé de façon convaincante, et l’attaquant glisse des « coordonnées bancaires mises à jour » (souvent accompagnées d’une justification plausible).
• Le prétexte de réinitialisation d’AMF ou du service d’assistance : un attaquant se faisant passer pour un employé prétend avoir perdu son téléphone, demande aux TI de réinitialiser son AMF et exerce une pression pour obtenir une exception rapide afin de « garder le travail en marche ».
• Le code QR à scanner pour accéder : un courriel ou un PDF contient un code QR que le destinataire doit scanner pour consulter un document sécurisé, ce qui mène à la collecte d’identifiants ou au vol de jetons.
• L’usurpation de domaine à grande échelle : des domaines sosies sont enregistrés rapidement et utilisés pour usurper l’identité de marques, de fournisseurs et de services internes dans le cadre de campagnes massives.

Le message clé ici est que « ce message semble manifestement faux! » n’est plus un rempart fiable. Les attaquants n’ont pas besoin d’une rédaction parfaite ni d’une connaissance approfondie des processus de leurs victimes. L’IA comble ces lacunes.

En somme, l’hameçonnage par IA réussit quand la rapidité l’emporte sur la vérification. Les défenses les plus efficaces combinent deux choses : des habitudes simples chez les utilisateurs qui contrecarrent l’impulsion « agissez maintenant », et des contrôles organisationnels qui limitent les dégâts en cas d’erreur. Commençons par la première partie, puisque les utilisateurs ont toujours été, sont et resteront le maillon le plus vulnérable de la chaîne de sécurité des TI.

Former les utilisateurs : 4 vérifications essentielles

Comme mentionné, l’hameçonnage par IA rend beaucoup moins efficace une formation axée sur « repérer l’arnaque évidente », car de nombreux messages malveillants paraissent désormais soignés, plausibles et familiers. Il est plutôt pratique et efficace d’outiller les utilisateurs avec un ensemble de vérifications reproductibles qu’ils peuvent appliquer en quelques secondes. Quatre en particulier sont essentielles : la vérification du processus, la vérification de l’identité, la vérification des liens et pièces jointes, et la vérification de l’information.

1. Vérification du processus

Avant d’évaluer de qui provient un message, les utilisateurs devraient d’abord faire attention à ce que le message leur demande de faire. L’hameçonnage par IA réussit souvent en exploitant des processus métier, et non en paraissant manifestement suspect. La vérification du processus est un moyen rapide de repérer les demandes qui ne correspondent pas aux flux de travail habituels, surtout quand le message est urgent ou tente de contourner les contrôles standard.

Les utilisateurs devraient se demander : « Cette demande correspond-elle à un flux de travail normal? » Ils doivent notamment surveiller :

• L’urgence combinée au secret (« n’en parlez à personne », « j’ai besoin de ceci avant la réunion »)
• Les demandes inhabituelles de paiement ou de changement de compte (coordonnées bancaires, changements de virement fournisseur, mises à jour de paie)
• Les invites de ressaisie d’identifiants (pages de connexion inattendues, liens « session expirée », invites de « document sécurisé » par code QR)
• Le changement de canal en cours de traitement (courriel vers SMS, Teams vers WhatsApp personnel, « utilisez ce nouveau numéro »)
• Les demandes de contournement des approbations (« juste cette fois », « j’approuverai plus tard »)

2. Vérification de l’identité

Avant de répondre à un message suspect, les utilisateurs devraient vérifier l’identité de l’expéditeur via un canal reconnu comme sûr. Cela peut vouloir dire appeler l’expéditeur à un numéro figurant dans l’annuaire interne, envoyer un nouveau courriel à une adresse de confiance (sans répondre au message original!), ou confirmer en personne lorsque c’est pratique et efficace.

Ces vérifications font passer la prise de décision de « est-ce que ça semble faux? » à « est-ce que ça a du sens? » et « suis-je certain de l’identité de mon interlocuteur? »

3. Vérification des liens et des pièces jointes

Même lorsqu’un message semble légitime, les utilisateurs devraient traiter les liens, les pièces jointes et les codes QR comme des éléments à haut risque — surtout s’ils sont inattendus, urgents ou liés à une connexion. Voici quelques conseils :

• N’utilisez pas les liens dans le message pour vous connecter. Accédez au service normalement (signet, URL tapée manuellement, application officielle) et naviguez à partir de là.
• Méfiez-vous des pièces jointes « consulter le document » et des codes QR, surtout s’ils déclenchent une page de connexion ou une demande d’identifiants inattendue.
• Si un lien ou un fichier vous pousse à agir rapidement, arrêtez-vous et appliquez d’abord la vérification du processus et la vérification de l’identité.

4. Vérification de l’information

L’hameçonnage par IA devient plus convaincant quand les attaquants disposent de plus de contexte. Les utilisateurs devraient partir du principe que les petites divulgations peuvent être utilisées contre eux. Les règles dans ce domaine incluent :

• Évitez de partager des détails opérationnels sensibles dans des canaux larges (mises à jour bancaires des fournisseurs, processus de paiement, noms des approbateurs, captures d’écran internes, plans de voyage, détails de projets).
• Ne partagez jamais de mots de passe à usage unique, d’invites AMF ni de détails de « vérification » avec qui que ce soit. Les utilisateurs doivent savoir que les TI ne les demanderont jamais.
• Vérifiez via un canal sûr et connu si quelqu’un demande des informations sensibles pour « confirmer une identité » ou « débloquer une tâche urgente ».

Ensemble, ces quatre vérifications n’exigent pas que le personnel non technique devienne des experts en sécurité. Elles créent plutôt des habitudes constantes qui peuvent contrecarrer les tentatives d’hameçonnage par IA et prévenir le vol d’identité et les violations.

Renforcer les organisations : 4 domaines de contrôle essentiels

Bien que de bonnes habitudes chez les utilisateurs soient indispensables dans cette lutte, elles ne peuvent pas porter tout le fardeau — surtout quand l’IA rend l’hameçonnage plus convaincant et plus facile à industrialiser. La couche suivante est donc organisationnelle : des contrôles qui réduisent la fréquence des attaques réussies, limitent ce qu’un attaquant peut faire avec des identifiants ou des sessions volés, et intègrent la vérification dans les flux de travail qui contrôlent les accès et déplacent de l’argent. Voici quelques recommandations applicables à toutes les organisations, y compris les PME dotées d’équipes TI et de budgets limités :

1. Faire de l’authentification résistante à l’hameçonnage la norme, pas l’exception

Partez du principe que les mots de passe seront hameçonnés, réutilisés ou volés. La vraie question n’est donc pas « Peut-on stopper chaque tentative d’hameçonnage? », mais « Que se passe-t-il quand un mot de passe fuit? » Les contrôles recommandés incluent :

• Une AMF résistante à l’hameçonnage là où c’est possible (FIDO2, clés d’accès, clés de sécurité physiques), et une AMF robuste partout ailleurs.
• L’application de l’AMF pour les rôles privilégiés et les actions à haut risque (portails d’administration, changements de paiement, création de règles de boîte de réception, gestion des fournisseurs).
• La protection contre la fatigue liée aux notifications AMF (correspondance de numéros, liaison d’appareils, et contrôles qui réduisent l’acceptation des notifications indésirables).

Une authentification forte n’élimine pas l’ingénierie sociale, mais elle transforme bien des tentatives de vol d’identifiants en impasses.

2. Réduire les gains potentiels d’une session ou d’un jeton volé

L’hameçonnage par IA cible de plus en plus les jetons de session et le consentement OAuth — et pas seulement les mots de passe. Privilégiez les contrôles qui limitent la persistance et le mouvement latéral. Cela inclut :

• L’accès conditionnel et les politiques basées sur le risque pour les déplacements impossibles, les appareils non reconnus et les connexions anormales.
• Des contrôles stricts sur les boîtes de réception (transfert automatique, règles de boîte de réception suspectes, nouveaux délégués créés récemment).
• La gouvernance des applications OAuth et tierces (restreindre le consentement des utilisateurs, exiger l’approbation de l’administrateur pour les portées risquées, examiner les nouvelles autorisations d’applications).
• Le moindre privilège par défaut (les droits d’administration permanents sont rares, limités dans le temps et traçables).

Ces contrôles déterminent souvent si un incident reste contenu ou se transforme en plateforme d’hameçonnage interne et en événement d’exfiltration de données.

3. Protéger les flux de travail que les attaquants ciblent le plus

De nombreux incidents à pertes élevées se produisent parce qu’un processus métier légitime est exploité. Renforcez les flux de travail à haut risque avec une vérification intégrée, notamment :

• La confirmation hors bande pour les changements bancaires et de paie, en utilisant des coordonnées de confiance déjà au dossier.
• L’approbation par deux personnes pour les paiements urgents et la configuration de nouveaux fournisseurs.
• La communication vérifiée avec les fournisseurs (domaines approuvés, listes de contacts, contrôles sur les changements de virement).
• Des règles claires sur ce qui ne se fait jamais (ne jamais partager des codes AMF, ne jamais approuver des invites AMF inattendues, ne jamais installer des outils d’accès à distance à la suite de demandes non sollicitées).

Quand le processus lui-même exige une vérification, les organisations cessent de s’appuyer sur le jugement individuel sous pression.

4. Rendre le signalement rapide, sûr et valorisé

Plus vite une tentative d’hameçonnage présumée est signalée, plus les dégâts sont limités. À cette fin, les organisations devraient mettre en place :

• Un signalement en un clic dans les outils de courriel et de collaboration.
• Des boucles de rétroaction rapides (« C’était malveillant, bravo! » ou « C’était sûr, et voici pourquoi »).
• Une culture sans honte qui valorise tous les signalements, même les faux positifs.

Analyse et conseils de notre chef de la sécurité, Patrick Pilotte

Ce qui me semble particulièrement pertinent dans cet article, c’est le changement de paradigme qu’il propose : nous ne devrions plus nous appuyer sur « ce qui semble suspect », mais sur « ce qui ne suit pas un processus normal ».

Là où j’ajouterais une nuance, c’est que l’IA n’a pas inventé l’hameçonnage sophistiqué — elle l’a rendu accessible à grande échelle. Ce qui était autrefois réservé aux attaques ciblées (compromission de courriel d’entreprise, fraude au PDG) peut maintenant être reproduit massivement avec peu d’efforts. À mon avis, le vrai problème n’est donc pas seulement la qualité des messages, mais leur industrialisation.

J’ajouterais aussi que les attaques ne passent plus uniquement par le courriel. On observe de plus en plus de scénarios hybrides combinant courriels, plateformes de messagerie interne (Teams, Slack) et même hameçonnage vocal avec clonage de voix, ce qui augmente considérablement la crédibilité des leurres.

Enfin, plutôt que de considérer l’utilisateur comme le maillon le plus faible, il est plus juste de dire que nos processus métier sont souvent optimisés pour la vitesse plutôt que pour la vérification — et c’est précisément là que les attaquants exploitent la brèche.

En conclusion

L’hameçonnage par IA fonctionne quand les gens sont pressés et les systèmes permissifs. La réponse n’est pas d’exiger une vigilance parfaite de la part des utilisateurs. C’est plutôt de construire un filet de sécurité solide, ancré dans des habitudes de vérification faciles à appliquer sous pression, et de les renforcer avec des contrôles organisationnels robustes qui limitent l’impact des erreurs.