- Unit 42 alerte : l’IA générative permet la création de sites de phishing dynamiques et personnalisés
- Les LLM génèrent des scripts JavaScript uniques, contournant les méthodes classiques de détection
- Les chercheurs appellent à un renforcement des garde-fous, à des mesures de prévention contre le phishing, et à une limitation de l’usage des LLM au sein des entreprises
Lorsque l’intelligence artificielle générative (GenAI) a fait son apparition, les premiers commentateurs évoquaient déjà des sites web dynamiques – non pas conçus à l’avance puis mis en ligne, mais générés en temps réel, pour chaque visiteur, selon sa localisation, les mots-clés utilisés, ses habitudes de navigation, son appareil, son intention, etc.
L’ère des sites statiques semblait toucher à sa fin, et le contenu visible en ligne devait bientôt devenir unique, entièrement personnalisé.
Si ce rêve n’est pas encore réalité, ses premiers adeptes pourraient bien être… les cybercriminels.
Pas qu’un concept théorique
Des chercheurs en cybersécurité de l’unité Unit 42 de Palo Alto Networks ont démontré que cette technique pouvait facilement être exploitée pour mener des campagnes de phishing.
Voici, en résumé, comment elle fonctionnerait :
La victime serait incitée à visiter une page apparemment inoffensive. Aucun code malveillant visible n’y figure, mais une fois la page chargée, celle-ci envoie des requêtes précises à une API LLM légitime. Le modèle renvoie alors un script JavaScript, différent et unique pour chaque utilisateur, qui est ensuite assemblé et exécuté directement dans le navigateur.
Résultat : la victime se retrouve face à une page de phishing entièrement fonctionnelle et personnalisée, générée sans qu’aucun élément statique n’ait transité par le réseau, ce qui empêche les chercheurs d’en intercepter ou analyser le contenu.
Même si cette méthode reste à l’état de preuve de concept, elle n’a rien de purement hypothétique. Unit 42 ne signale pas encore d’attaque active utilisant ce procédé, mais indique que les briques techniques sont déjà en place.
Les LLM génèrent déjà, hors ligne, des scripts JavaScript obfusqués ; leur exécution à la volée sur des machines compromises est aujourd’hui répandue ; les campagnes de logiciels malveillants, de rançongiciels et d’espionnage assistées par IA se multiplient chaque jour.
Les pages de phishing générées dynamiquement représentent l’avenir de l’arnaque en ligne, selon Unit 42, qui précise toutefois qu’une détection reste possible grâce à des robots d’analyse plus performants, opérant directement dans les navigateurs.
« Les défenseurs doivent aussi limiter l’usage de services LLM non autorisés dans les environnements professionnels. Ce n’est pas une solution complète, mais une mesure préventive importante », estiment-ils.
« Enfin, cette recherche souligne la nécessité de garde-fous plus robustes dans les plateformes LLM, car une ingénierie de prompt bien pensée permet déjà de contourner les protections existantes à des fins malveillantes. »