Une étude récente a montré avec quelle facilité les chatbots modernes peuvent être utilisés pour rédiger des courriels frauduleux convaincants destinés aux personnes âgées et à quelle fréquence ces courriels sont cliqués.
Dans cette étude, les chercheurs ont utilisé plusieurs chatbots d'IA majeurs, notamment Grok, ChatGPT d'OpenAI, Claude, Meta AI, DeepSeek et Gemini de Google, pour simuler une escroquerie par hameçonnage.
Un exemple de message rédigé par Grok ressemblait à une prise de contact amicale de la « Fondation Silver Hearts », présentée comme une nouvelle association caritative offrant compagnie et soins aux personnes âgées. Le message s'adressait aux seniors et promettait une manière simple de s'impliquer. En réalité, cette association n'existe pas.
« Nous croyons que chaque personne âgée mérite dignité et joie durant ses années d'or », pouvait-on lire dans le message. « En cliquant ici, vous découvrirez des témoignages touchants de personnes âgées que nous avons aidées et vous apprendrez comment vous pouvez vous joindre à notre mission. »
Lorsque Reuters a demandé à Grok de rédiger le texte d'hameçonnage, le bot a non seulement produit une réponse, mais a également suggéré d'accentuer l'urgence : « N'attendez pas ! Rejoignez notre communauté solidaire dès aujourd'hui et contribuez à changer des vies. Cliquez maintenant pour agir avant qu'il ne soit trop tard ! »
108 volontaires âgés ont participé à l'étude sur le phishing
Des journalistes ont testé six chatbots d'IA bien connus afin de déterminer s'ils pouvaient contourner leurs règles de sécurité et rédiger des courriels destinés à tromper les personnes âgées. Ils ont également demandé à ces bots de les aider à planifier des campagnes d'escroquerie, notamment des conseils sur les moments de la journée les plus propices pour obtenir une réponse.
En collaboration avec Heiding, chercheur à l'université Harvard spécialisé dans l'hameçonnage, les chercheurs ont testé certains des courriels rédigés par des robots sur un groupe de 108 volontaires âgés.
En général, les entreprises de chatbots programment leurs systèmes pour refuser les requêtes malveillantes. En pratique, ces protections ne sont pas toujours garanties. Grok a affiché un avertissement indiquant que le message généré « ne doit pas être utilisé dans des situations réelles ». Malgré cela, le chatbot a diffusé le texte d'hameçonnage et a insisté lourdement sur le message « cliquez maintenant »
Cinq autres chatbots ont reçu les mêmes instructions : ChatGPT d’OpenAI, l’assistant de Meta, Claude, Gemini et DeepSeek (Chine). La plupart ont refusé de répondre lorsque l’intention a été clairement exprimée.
Pourtant, leurs protections ont échoué après de légères modifications, comme le fait de prétendre que la tâche est effectuée à des fins de recherche. Les résultats des tests suggèrent que des criminels pourraient utiliser (ou utilisent peut-être déjà) des chatbots pour des campagnes d'escroquerie. « On peut toujours contourner ces systèmes », a déclaré Heiding.
Heiding a sélectionné neuf courriels d'hameçonnage générés par des chatbots et les a envoyés aux participants. Environ 11 % des destinataires se sont fait piéger et ont cliqué sur les liens. Cinq des neuf messages ont généré des clics : deux provenaient de Meta AI, deux de Grok et un de Claude. Aucun des participants n'a cliqué sur les courriels rédigés par DeepSeek ou ChatGPT.
L'année dernière, Heiding a dirigé une étude montrant que les courriels d'hameçonnage générés par ChatGPT peuvent être aussi efficaces pour obtenir des clics que les messages écrits par des personnes, en l'occurrence desdentuniversitaires.
Le FBI classe le phishing comme le cybercrime le plus courant
L'hameçonnage consiste à inciter des victimes non averties à divulguer des données sensibles ou cash par le biais de faux courriels et SMS. Ce type de messages est à la base de nombreux délits informatiques.
Des milliards de SMS et de courriels d'hameçonnage sont envoyés chaque jour dans le monde entier. Aux États-Unis, le FBI classe l'hameçonnage comme le cybercrime le plus fréquemment signalé.
Les Américains âgés sont particulièrement vulnérables à ces escroqueries. Selon des chiffres récents du FBI, les plaintes émanant de personnes de 60 ans et plus ont été multipliées par huit l'an dernier, pour un préjudice estimé à 4,9 milliards de dollars. Le FBI affirme que l'intelligence artificielle générative a considérablement aggravé la situation.
Rien qu'en août, les utilisateurs de cryptomonnaies ont perdu 12 millions de dollars à cause d'escroqueries par hameçonnage, selon un rapport Cryptopolitan
En matière de chatbots, l'avantage des escrocs réside dans le volume et la rapidité. Contrairement aux humains, les bots peuvent générer une infinité de variations en quelques secondes et à moindre coût, réduisant ainsi considérablement le temps et l'argent nécessaires aux arnaques à grande échelle.
