Compromission de messagerie professionnelle (BEC)

L'hameçonnage à l'ère de la GenAI : des leurres plus vrais que nature

Clock Icon 11 minutes de lecture
Related Products
Advanced DNS SecurityAdvanced URL FilteringCloud-Delivered Security ServicesUnit 42 Incident Response iconUnit 42 Incident Response

Avant-propos

L’essor rapide de l’intelligence artificielle générative (GenAI) a donné naissance à une multitude de plateformes web offrant des fonctionnalités telles que l’aide au code, la génération de langage naturel, l’interaction via chatbot et la création automatisée de sites web. Cet article s’appuie sur les données issues de notre télémétrie. Il met en lumière les tendances qui façonnent l’évolution du web à l’ère de la GenAI.

En raison de sa diffusion croissante, cette technologie ouvre également de nouveaux vecteurs d’abus pour les acteurs de la menace. Ces derniers exploitent de plus en plus les plateformes de ce type pour créer des contenus d’hameçonnage réalistes, usurper l’identité de marques de confiance et automatiser des déploiements à grande échelle grâce à des services comme les générateurs de sites low-code. Et logiquement, les menaces deviennent plus difficiles à détecter.

Nous analysons plusieurs scénarios d’abus, notamment des pages d’hameçonnage générées par IA et des chatbots malveillants. Nous fournissons également des indicateurs liés à ces activités afin de soutenir les initiatives de détection et réponse.

Les clients de Palo Alto Networks sont mieux protégés contre les menaces décrites dans cet article grâce aux produits et services suivants :

Advanced URL Filtering et Advanced DNS Security permettent d’identifier les domaines et URL associés à cette activité comme étant malveillants.

Si vous pensez que votre entreprise a pu être compromise ou si vous faites face à une urgence, contactez l’équipe Unit 42 de réponse à incident.

L’utilisation de la GenAI en hausse

Introduction aux services d’IA basés sur le web

La GenAI a alimenté une vague de nouveaux sites et plateformes, allant des assistants conversationnels aux outils de création multimédia. Tandis que l’écosystème évolue, nous identifions des schémas émergents dans la manière dont les utilisateurs adoptent les différentes catégories de services d’IA.

Assistants rédactionnels, outils de réunion, générateurs de code et constructeurs de sites web simplifient désormais des tâches qui exigeaient auparavant un effort manuel considérable, ce qui marque une transformation dans la façon dont le travail est produit et diffusé dans différents domaines. De tels outils rationalisent les flux de travail, réduisent l’effort manuel et ouvrent la voie à de nouvelles formes de création de contenu.

Nous observons une nette tendance à la hausse dans l’adoption de la GenAI dans tous les secteurs, notamment depuis la montée en flèche de l’intérêt du public et des innovations dans ce domaine au sens large. En l’espace de six mois seulement, l’usage de l’IA a plus que doublé et continue de croître régulièrement, comme l’illustre la figure 1.

La courbe bleue représente le nombre de visites de sites web d’IA en milliards, entre avril 2024 et avril 2025. Les barres rouges indiquent le nombre de nouveaux sites hébergeant des services d’IA, en millions. Cette hausse générale du trafic vers ces sites confirme l’adoption croissante des applications et services de GenAI.

Graphique combinant histogramme et courbe, montrant le lancement de nouveaux hôtes IA (en millions) et les visites de sites web IA (en milliards) d’avril 2024 à avril 2025. Les lancements d’hôtes sont représentés par des barres rouges et les visites de sites par une courbe bleue. Logo combiné Palo Alto Networks et Unit 42.
Figure 1. Tendances mensuelles et croissance du trafic vers les sites d’IA.

Tendances des services d’IA et focus par secteur

Nous analysons la manière dont les utilisateurs adoptent les capacités spécifiques de l’IA afin de mieux anticiper les risques que ces différentes fonctions peuvent induire. Un examen plus poussé de nos données télémétriques révèle ce qui suit :

  • Les principaux secteurs pour l’adoption de l’IA sont les suivants :
    • Hautes technologies
    • Enseignement
    • Télécommunications
    • Services professionnels et juridiques
  • C’est le secteur des hautes technologies qui utilise le plus l’IA, avec plus de 70 % de l’ensemble des usages d’outils de GenAI (voir figure 2).
  • La majorité de cette activité se concentre sur les applications de génération de texte (telles que les assistants rédactionnels et les chatbots IA) et les outils de génération multimédia, comme l’illustre la figure 3.
  • Environ 16 % de l’utilisation des services d’IA est dédiée au traitement de données et à l’automatisation du flux de travail, par exemple pour la création de campagnes d’e-mails.
Diagramme circulaire montrant la répartition de l’utilisation des services d’IA par secteur. Le secteur Haute technologie domine avec 74,0 %, suivi par Autres avec 3,3 %, Collectivités locales et territoriales avec moins de 1 %, Industrie manufacturière avec 1,5 %, Retail et vente en gros avec 1,2 %, Services professionnels et juridiques avec 3,1 % et Télécommunications avec 5,6 %. Le secteur de l’Éducation atteint 9,1 %. Logo combiné Palo Alto Networks et Unit 42.
Figure 2. Répartition sectorielle de l’utilisation des services d’IA.
Diagramme circulaire montrant la répartition des catégories de services d’IA dans l’ensemble des secteurs. Les segments incluent : Générateurs de médias à 24,5 %, Flux de travail IA et données à 15,8 %, Chatbots à 13,2 %, Assistants de code à 2,5 %, Assistant de réunion à 1,3 %, Générateurs de sites web à 4,3 %, Plateformes et services d’IA à 6,6 % et Assistants rédactionnels à 31,8 %. Logo combiné Palo Alto Networks et Unit 42.
Figure 3. Répartition des catégories d’IA dans l’ensemble des secteurs.

Panorama des attaques d’hameçonnage exploitant différents types de services d’IA

Si les outils de GenAI proposent de puissantes capacités, ils introduisent également des risques majeurs que les acteurs de la menace peuvent exploiter pour lancer des campagnes d’hameçonnage ou d’autres types de cyberattaques.

  • Les assistants de code pilotés par IA peuvent considérablement améliorer le développement logiciel. Ils fournissent des suggestions en temps réel, automatisent la génération de code et réduisent les erreurs. Toutefois, ils peuvent exposer par inadvertance du code propriétaire ou des données sensibles relevant de la propriété intellectuelle, créant ainsi des points d’entrée pour des attaques ciblées.
  • Les outils de génération de texte (tels que les assistants conversationnels, rédactionnels ou de réunion) améliorent la productivité, la création de contenu et les interactions client. Cependant, les attaquants peuvent les détourner pour produire des contenus d’hameçonnage convaincants, diffuser de la désinformation ou divulguer des données confidentielles.
  • Les services de modèles d’IA simplifient le déploiement, l’entraînement et l’inférence, mais ils peuvent exposer des modèles ou données sensibles à un accès non autorisé, ce qui accroît le risque de détournement de modèle ou d’intégration dans des workflows malveillants.
  • Les cybercriminels peuvent recourir aux outils multimédias pilotés par IA, notamment les générateurs de médias et les constructeurs de sites web, pour créer rapidement des sites frauduleux et réalistes, des contenus deepfake ou encore des pages d’hameçonnage imitant des marques de confiance.
  • Enfin, les plateformes de données et outils d’automatisation du flux de travail alimentés par l’IA optimisent les processus métier, améliorent l’efficacité et simplifient la prise de décision. Mais mal encadrés, ils deviennent des vecteurs potentiels de fuites de données, d’accès non autorisés et d’exploitation automatisée au sein de systèmes interconnectés.

Pris dans leur ensemble, ces risques mettent en avant le potentiel de la GenAI à amplifier les campagnes d’hameçonnage et autres menaces liées à l’ingénierie sociale. Des garde-fous plus robustes et des capacités accrues de détection des menaces sont donc nécessaires.

La figure 4 présente les trois principaux services d’IA détournés à des fins d’hameçonnage :

  • Générateurs de sites web (environ 40 %)
  • Assistants rédactionnels (environ 30 %)
  • Chatbots (près de 11 %)
Diagramme circulaire montrant la répartition des services d’IA détournés à des fins d’hameçonnage. En tête, les Générateurs de sites web avec 40,4 %, suivis des Assistants rédactionnels à 29,6 %, des Chatbots à 10,5 %, des Générateurs de médias à 8,4 %, des Plateformes et services d’IA à 4,1 %, de l’Assistance aux réunions à 3,5 %, des Flux de travail IA et données à 3,2 %, et des Assistants de code avec 0,3 %. Logo combiné Palo Alto Networks et Unit 42.
Figure 4. Répartition des catégories de services d’IA détournés pour des attaques d’hameçonnage.

Détournement des services de génération de sites web

Bien que relativement récents, ces services sont déjà détournés par des acteurs de la menace pour mener des attaques d’hameçonnage bien réelles.

Nous avons observé des sites d’hameçonnage créés avec un générateur piloté par IA, capable de produire des sites en quelques secondes. Cette plateforme permet de saisir un prompt pour générer et publier des sites, sans vérification d’adresse e-mail ni de numéro de téléphone. Elle utilise l’IA pour créer des images et du texte à partir de ce prompt, afin de composer un site complet.

En mai 2025, nous avons détecté deux exemples concrets de pages d’atterrissage d’hameçonnage générées par IA. Dans les deux cas, ces pages renvoyaient vers des sites contrôlés par les attaquants, dédiés au vol d’identifiants.

Page promotionnelle présentant un « COUPON GRATUIT » permettant de débloquer un abonnement Standard de 12 mois avec une remise de 100 %, accompagnée d’un bouton « Afficher le code du coupon », suivi d’un autre bouton « Cliquez ici ». L’arrière-plan comprend une image floutée de formes rouges et noires.
Figure 5. Capture d’écran de la page d’hameçonnage observée en mai 2025.
Capture d’écran d’une page promotionnelle « Carte-cadeau » d’un site web, présentant trois images floutées de cartes avec du texte superposé mettant en avant différents avantages à l’achat. Le menu de navigation comprend les options Accueil, À propos, Produits et Contact.
Figure 6. Capture d’écran de la page d’hameçonnage observée en mai 2025.

Certaines des plateformes de création de sites pilotées par IA que nous avons étudiées semblent dépourvues de garde-fous contre l’usurpation de l’identité d’entreprises ou d’organisations existantes. À titre de test, nous avons utilisé l’un de ces générateurs pour créer une fausse page Palo Alto Networks.

Le site n’exigeait qu’une adresse e-mail valide (pas nécessairement liée à Palo Alto) pour créer un compte d’essai et publier une page usurpant l’identité de notre société. Comme ces pages sont conçues pour offrir rapidement une vitrine web à une nouvelle entreprise ou organisation, elles n’intègrent pas les éléments graphiques que les cybercriminels utilisent habituellement pour imiter une marque ciblée.

Lors de notre test, le générateur promettait de créer gratuitement un site en 60 secondes. Cette promesse fut tenue. Notre seule contribution fut une brève description de l’entreprise, saisie sous forme de prompt initial. La figure 7 montre une brève description de notre société saisie dans le prompt initial du générateur de sites piloté par IA.

Générateur de sites web piloté par IA. Créez un site IA gratuit en 60 secondes. En dessous, une fenêtre de saisie de prompt affiche : « Palo Alto Networks est une entreprise de cybersécurité de premier plan proposant des pare-feu nouvelle génération et d’autres solutions de sécurité. » Un curseur géant sur le point de cliquer sur le bouton « Enhance Prompt ».
Figure 7. Brève description de notre société dans le prompt initial du générateur de sites web piloté par IA.

Le bouton Enhance Prompt a transformé cette saisie en un prompt complet pour créer la page, comme illustré à la figure 8. Le prompt final comprenait un paragraphe sur l’entreprise généré par IA, un style par défaut facilement modifiable, ainsi qu’une liste de contenus à intégrer au site.

Capture d’écran d’une page web contenant un texte décrivant l’engagement de Palo Alto Networks en matière d’innovation et de cybersécurité, avec une section consacrée au nom de l’entreprise/projet ainsi qu’à sa mission et à ses services. Le curseur survole la flèche orientée vers le haut, située à droite.
Figure 8. Prompt enrichi par le générateur de sites web piloté par IA.

Nous avons ensuite cliqué sur le bouton fléché (voir figure 8). En 5 à 10 secondes, le générateur a créé un environnement de préproduction pour le site. À partir d’un prompt rédigé à la hâte (« Palo Alto Networks est une entreprise de cybersécurité de premier plan proposant des pare-feu nouvelle génération et d’autres solutions de sécurité »), la page obtenue (figure 9) paraissait tout à fait plausible pour une société de cybersécurité.

Un professionnel sur son poste de travail, devant plusieurs écrans affichant des données, sur le faux site Palo Alto Networks généré par IA. Le texte affiche : « La cybersécurité réinventée – Protégez vos actifs en toute confiance », accompagné d’un bouton « Voir les services ».
Figure 9. Page d’accueil produite par le générateur de sites web piloté par IA.

En parcourant cette page d’accueil, nous avons trouvé une description convaincante de notre entreprise générée par IA (figure 10).

Fausse page d’accueil du site Palo Alto Networks générée par IA, présentant un professionnel devant des écrans, accompagnée d’un texte sur des solutions de cybersécurité de premier plan.
Figure 10. Description de l’entreprise produite par le générateur de sites web piloté par IA.

La page d’accueil comprenait des liens vers différentes rubriques décrivant les pare-feu nouvelle génération, les solutions de sécurité cloud et les services de renseignements sur les menaces. La figure 11 montre un lien depuis la page d’accueil vers les services de Threat Intelligence, ainsi que la page générée à partir de ce lien. Comme pour la description de l’entreprise, le texte imite ce que l’on pourrait attendre d’une société de cybersécurité de renom.

Montage de captures d’écran d’un faux site Palo Alto Networks généré par IA, présentant des sections sur la sécurité cloud, le renseignements sur les menaces et les services Advanced Threat Protection, avec des images d’opérations de sécurité réseau et un texte descriptif sur les solutions de cybersécurité.
Figure 11. Page dédiée aux services de renseignements sur les menaces produite par le générateur de sites web piloté par IA.

Le générateur de sites propose ensuite un bouton pour publier la page. Le fait d’appuyer sur ce bouton ouvre la fenêtre de dialogue illustrée à la figure 12.

Capture d’écran de l’interface d’édition d’un faux site web Palo Alto Networks généré par IA, affichant une fenêtre contextuelle intitulée « Publier le site web ». La fenêtre invite l’utilisateur à ajouter un domaine personnalisé avec des informations tarifaires et des formules d’abonnement. Les boutons « Voir les offres », « Annuler » et « Publier » sont visibles.
Figure 12. Fenêtre de dialogue pour publier notre site test.

Nous n’avons pas publié ce faux site Palo Alto Networks, mais des cybercriminels ont déjà détourné ce générateur pour mettre en ligne des pages d’hameçonnage usurpant l’image d’autres marques, comme dans les deux exemples concrets mentionnés plus haut.

Les attaquants peuvent reproduire des vecteurs similaires sur d’autres plateformes de création, beaucoup ayant récemment ajouté des fonctionnalités pilotées par IA. La figure 13 montre un faux site de cartes cadeaux généré sur une autre plateforme de création de sites pilotée par IA.

Bannière promotionnelle d’un site frauduleux de cartes cadeaux affichant le slogan « Le bonheur dans chaque carte », avec un bouton « Explorer » et l’image d’une main tenant une carte lumineuse. En dessous figurent plusieurs offres de cartes, notamment Crédit en magasin, Bon de réduction, Carte-cadeau et Crédit d’abonnement, avec les prix indiqués.
Figure 13. Page de cartes cadeaux à prix réduit générée sur une autre plateforme de création de sites web pilotée par IA.

À ce stade, les attaques d’hameçonnage menées via ce type de générateurs paraissent relativement rudimentaires et ne tromperaient sans doute pas la majorité des victimes potentielles. Toutefois, à moyen et long terme, nous nous attendons à ce que ces attaques gagnent en réalisme à mesure que ces outils progressent.

Détournement des services d’assistants rédactionnels

Outre les générateurs de sites web, nous avons identifié plusieurs URL d’hameçonnage créées et hébergées sur des plateformes tierces d’assistants rédactionnels pilotés par IA. Dans tous ces cas, l’attaquant a utilisé l’application pour héberger une page d’hameçonnage. La page affichait un message générique du type « Vous avez reçu de nouveaux documents, cliquez ici pour les consulter ». En cliquant, la victime était redirigée vers un second site destiné au vol d’identifiants, comme une fausse page de connexion Microsoft.

Bien qu’hébergées sur des plateformes offrant des fonctionnalités de génération de contenu, ces pages d’hameçonnage restent très rudimentaires et ne présentent aucun signe manifeste de recours à l’IA (voir figures 14 et 15). Ce type d’activité rappelle ce que nous avons déjà observé dans des campagnes de détournement de plateformes SaaS, par exemple des pages d’hameçonnage hébergées sur des générateurs de présentations ou d’autres outils légitimes de partage de contenu.

Capture d’écran d’une interface de partage de documents numériques intitulée « DOCUMENTS PROFESSIONNELS SÉCURISÉS ». Les fonctionnalités incluent un lien « VOIR LE PDF EN LIGNE » ainsi que des sections supplémentaires pour la connexion, les informations sur l’auteur et un rappel d’activation pour Windows.
Figure 14. Capture d’écran d’une page d’hameçonnage créée sur une plateforme d’assistant SEO.
Capture d’écran d’un service de partage de documents avec un fichier PDF prêt à être partagé. Un bouton intitulé « VOIR LE DOCUMENT » est visible, suivi d’une signature attribuée à une personne se présentant comme « Kim Cromidas ». Certaines informations sont masquées pour des raisons de sécurité.
Figure 15. Capture d’écran d’une page d’hameçonnage créée sur une plateforme d’assistant commercial.

À l’avenir, les attaquants pourraient exploiter de façon plus poussée les fonctionnalités d’IA de ces plateformes. Mais pour l’instant, ils les utilisent principalement comme service d’hébergement de contenus malveillants.

Conclusion

Dans cet article, nous avons examiné les services de GenAI basés sur le web et analysé les attaques d’hameçonnage qui en détournent l’usage. Nous avons étudié des exemples de pages d’hameçonnage créées à l’aide de générateurs de sites web pilotés par IA, et montré comment les cybercriminels peuvent exploiter ces outils pour produire plus facilement des contenus frauduleux. Nous avons également constaté que des services d’assistants rédactionnels pilotés par IA avaient été détournés, même si ces plateformes ont avant tout servi à héberger des contenus malveillants (sans signe clair d’implication de l’IA).

Notre télémétrie reflète l’adoption croissante des applications et services de GenAI, et nous anticipons une augmentation correspondante des attaques tirant parti cette technologie au fil du temps.

Les clients de Palo Alto Networks sont mieux protégés contre les menaces décrites dans cet article grâce aux produits suivants :

Si vous pensez que votre entreprise a pu être compromise ou si vous faites face à une urgence, contactez l’équipe Unit 42 de réponse à incident ou composez l’un des numéros suivants :

  • Amérique du Nord : Gratuit : +1 (866) 486-4842 (866.4.UNIT42)
  • Royaume-Uni : +44 20 3743 3660
  • Europe et Moyen-Orient : +31.20.299.3130
  • Asie : +65.6983.8730
  • Japon : +81 50 1790 0200
  • Australie : +61.2.4062.7950
  • Inde : 00080005045107

Palo Alto Networks a partagé ces conclusions avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA s’appuient sur ces renseignements pour déployer rapidement des mesures de protection auprès de leurs clients et perturber de manière coordonnée les activités des cybercriminels. Cliquez ici pour en savoir plus sur la Cyber Threat Alliance.

Remerciements

Nous remercions Peng Peng pour ses recherches sur les chatbots malveillants, ainsi qu’Alex Starov et Jun Javier Wang pour leurs suggestions.

Annexe

Les figures 16 à 22 présentent d’autres captures d’écran de pages d’hameçonnage liées à la GenAI que nous avons identifiées en conditions réelles.

En-tête de site web affichant une bannière « Coupon gratuit », avec des images d’une table en bois sur laquelle reposent des billets en euros à côté d’une boîte contenant des pommes de pin, accompagné du texte « Débloquez vos économies dès aujourd’hui ! »
Figure 16. Autre capture d’écran du site d’hameçonnage présenté en figure 5.
Arrière-plan composé de pages densément disposées, probablement des documents ou des formulaires, avec un texte en surimpression indiquant « DOCUMENT SÉCURISÉ » et un bouton « VOIR LE DOCUMENT ».
Figure 17. Capture d’écran d’une page d’hameçonnage hébergée sur une plateforme de sites web pilotée par IA, envoyée via un e-mail d’hameçonnage. Cette page renvoie vers une fausse page de connexion à un service web bien connu.
Montage de six images représentant divers produits technologiques et du quotidien en promotion. Les prix varient de 1 à 20 $.
Figure 18. Fausse page de site d’achat de cartes cadeaux produite sur un générateur de sites web.
Notification sur écran d’ordinateur avec le message « Vous avez reçu un nouveau document PDF finalisé ». L’e-mail informe le destinataire qu’un nouveau document PDF est prêt pour examen. Un bouton rouge « Examiner les documents finalisés » est visible.
Figure 19. Capture d’écran d’une page d’hameçonnage générée via un assistant de conception piloté par IA.
Notification sur écran d’ordinateur avec le message « Vous avez reçu un nouveau document PDF finalisé ». L’e-mail informe le destinataire qu’un nouveau document PDF est prêt pour examen. Un bouton rouge « Examiner les documents finalisés » est visible.
Figure 20. Capture d’écran d’une page d’hameçonnage générée via un assistant de conception piloté par IA.
Capture d’écran d’une page d’hameçonnage montrant une voiture, des téléviseurs et d’autres articles, avec un bouton « KLIK CEK KUPON ».
Figure 21. Capture d’écran d’une page d’accueil d’hameçonnage produite sur un générateur d’applications no-code.
Capture d’écran d’une page d’hameçonnage affichant le message « Vous avez reçu 2 nouveaux fax », avec une option « Récupérer vos fichiers ici ». Le format indiqué est PDF. Le statut apparaît comme « Livré ». L’interface comprend des icônes et boutons colorés.
Figure 22. Capture d’écran d’une page d’hameçonnage produite sur une plateforme éducative pilotée par IA.

Étiquettes

SOMMAIRE

Sur le même thème

Associé Compromission de messagerie professionnelle (BEC) Ressources

Enlarged Image

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité

Default Heading

Read the article Right Arrow