Avec l’IA, les cybercriminels créent de faux sites web. Comment s’en protéger ?

Les pirates ou cyberhackers utilisent souvent des plateformes clés en main, accessibles sur le ‘darkweb’, (comme Darcula V3 localisé en Chine, ou Tycoon 2FA, EvilProxy, Sneaky 2FA…). Il s’agit ni plus ni moins de services en ligne : ‘phishing as a service’ (PhaaS). Ils intègrent désormais de l’IA générative ; ils permettent de créer des clones de sites avec nom de domaine, interface graphique, formulaire de connexion, liens de redirection - quasiment tout en kit. Ils peuvent même casser les doubles authentifications (emails + SMS). Les experts mentionnent également Labhost qui propose des kits d’hameçonnage sur abonnement (comme ceux utilisés il y a quelques mois pour pirater des banques au Canada).

A noter que EvilProxy fait partie des outils qui interceptent les identifiants et les copient sur de vraies pages de service ciblées, ce qui permet ensuite de demander le mot de passe.

Des IA génératives comme WormGPT ou FraudGPT sont capables de générer, à partir d’un ‘prompt’ basique (requête), du code produisant automatiquement des pages de sites web, avec insertion de logos, intégration des champs à remplir, boutons de sélection, etc. Un rapport récent (Okta Threat Intelligence) avertit que des modules comme Vercel v0 permettent de déployer un site web sur une infrastructure fiable en quelques minutes, le service incluant la mise en place d’un domaine très peu cher, voire gratuit.

Ainsi, toute la chaîne - création d’un nom de domaine, développement et hébergement d’un site, envoi d’e-mails - peut être exécutée et déployée automatiquement pour un coût compris entre 200 et 500 dollars par mois.

Parmi d’autres, le moteur d’IA Claude s’est laissé piéger par des cyberexperts ; ils ont prétexté qu’il s’agissait d’un jeu de rôle entre formateurs en cybersécurité... Ailleurs, il a été démontré que la plateforme d’IA R1 du chinois DeepSeek pouvait être utilisée pour générer des rançongiciels et des enregistreurs de codes lors de leur saisie sur clavier.

Même ChatGPT peut être utilisé, à son insu, pour créer des modules de phishing ou, plus grave, des « reverse proxys » (pour remonter des process et comprendre les protections).

Riposte et solutions

Que faire face à ces utilisations malveillantes de l’IA ? Les éditeurs disent installer des filtres détectant les mots-clés suspects dans les ‘prompts’. Ils disent surveiller les comptes abusifs et les demandes d’interfaces programmatiques (API) aux entrées / sorties des modèles d’IA. Ils réalisent des tests pour piéger les IA et vérifier si elles sont détournées pour fabriquer, par exemple, de faux messages d’alerte. En outre, des techniques de traçabilité sont mises en place.

L’utilisateur que nous sommes - victime ciblée - ne peut que rester sur ses gardes. On vérifie les adresses URL et on traque les noms pouvant inclure des lettres trompeuses, comme 0 (zéro) à la place de la lettre O (Micr0s0ft ou G00gle). Ou avec des extensions de pays inconnus ou suspects attachées à des dénomination trompeuses comme « auto-fr.ru » au lieu de « auto.fr » On vérifie que le HTTPS du nom de domaine termine bien par le S de sécurité, accompagné de l’icône figurant un cadenas (ce n’est qu’un indice, pas une garantie suffisante).

Mieux vaut saisir les adresses ou liens URL lettre par lettre, afin de les vérifier, plutôt que de cliquer directement sur un lien reçu par e-mail ou par SMS (cf. WhatsApp, Facebook messenger). On peut également le soumettre à des « détecteurs » comme Link-checker de F-Secure ou Bitdefender, Getlinkinfo.com, Phishtank.org, Virustotal.com, ou encore ScanURL. Sur son smartphone, on désactive l’ouverture automatique des liens (Facebook, Instagram, TikTok…) ; et, si possible, on utilise un navigateur neutre comme Firefox focus ou Brave.

Sur son navigateur, on peut également installer des extensions de sécurité (Bitdefender traffic light, uBlock origin, Privacy badger…). Lorsque la double authentification (e-mail + SMS) n’existe pas, on peut installer des outils d’authentification renforcée comme Authy (pas gratuit, mais abordable), LinOTP, SmartOTP ou Google Authenticator.

En cas de doutes sur un site web, on commence par vérifier sa réputation et son origine sur Internet, via les moteurs d’IA ou de recherche (cf. Scamdoc, Safe Browsing, WHOIS Loockup) en mentionnant ‘arnaque’, phishing...

Enfin, il est toujours possible d’installer un filtre DNS ou « résolveur DNS sécurisé » comme DNS4EU, gratuit, lancé en 2023 à l’initiative de l’UE ; il protège de la plupart des malware, sites de phishing ou cyber-failles identifiées.