PEBCAK
Image may be NSFW.Clik here to view.
L’entreprise de cybersécurité CrowdStrike explique dans son rapport annuel qu’en 2024, la plupart des cyberattaques n’utilisaient pas de logiciel malveillant, mais s’appuyaient plutôt sur ce qui se situe entre la chaise et le clavier : l’utilisateur. Cette utilisation massive de l’ingénierie sociale, qui s’appuie de plus en plus sur l’IA générative, pose des difficultés importantes de détection.
Les pirates utilisent de moins en moins de logiciels malveillants pour accéder à une machine ou aux données d’un utilisateur, selon le rapport annuel 2025 de CrowdStrike [PDF]. En 2024, 79 % des cyberintrusions n’auraient pas utilisé ce genre d’outils, contre 40 % en 2019.
L’entreprise de cybersécurité explique qu’« au lieu des logiciels malveillants traditionnels », les pirates « privilégient des méthodes plus rapides et plus furtives telles que le vishing, l’ingénierie sociale, les services de courtiers d’accès [access brokers, en anglais] et l’abus de relations de confiance ». Et rappelons que se faire avoir par le vishing n’arrive pas qu’aux autres.
Le vishing grimpe en flèche
CrowdStrike a constaté que le vishing avait plus que quadruplé entre le premier et le second semestre 2024 (+ 442 %). Elle explique que dans la plupart des campagnes de vishing de 2024, les pirates se sont fait passer pour un assistant informatique appelant les utilisateurs ciblés sous prétexte de résoudre des problèmes de connectivité ou de sécurité.
L’entreprise a suivi pendant l’année dernière six campagnes de la sorte « similaires, mais probablement distinctes ». Au cours de celles-ci, les attaquants se faisant passer pour du personnel informatique « ont appelé leurs cibles et tenté de les persuader d’établir des sessions d’assistance à distance, souvent à l’aide de Microsoft Quick Assist. Dans de nombreux cas, les appels ont été effectués via Microsoft Teams » à partir de locataires externes.
L’IA générative, outil de base du pirate
De plus, CrowdStrike pointe le fait que l’IA générative est « devenue un outil attrayant pour les pirates, avec une faible barrière à l’entrée qui la rend largement accessible ». Les progrès de cette technologie ont, selon l’entreprise, permis d’améliorer significativement certaines cyberattaques et « en particulier celles qui font appel à l’ingénierie sociale ».
Dans son rapport, l’entreprise de cybersécurité donne l’exemple du groupe de pirates nord-coréen Famous Chollima. Celui-ci arriverait à obtenir « des postes dans des entreprises du monde entier sous de fausses identités, en utilisant parfois des outils de genAI pour manipuler socialement les recruteurs pendant le processus de candidature ». Ils créeraient des profils LinkedIn fictifs avec de fausses images de profils et passent les entretiens en utilisant des réponses générées par IA.
CrowdStrike renvoie aussi à plusieurs études scientifiques mises en ligne sur arXiv sur l’utilisation des grands modèles de langage pour l’ingénierie sociale. L’une d’elles indique par exemple que les messages de phishing générés par des LLM ont un taux de clics nettement plus élevé (54 %) que les messages d’hameçonnage vraisemblablement rédigés par des humains (12 %). Une autre étude montre que les taux de détection des pages de phishing générées par le LLM étaient comparables à ceux des pages de phishing créées par l’homme.
Les courtiers d’accès font de plus en plus de pub
L’entreprise affirme aussi que les attaques liées à l’accès initial d’un système informatique ont explosé, « représentant 52 % des vulnérabilités observées par CrowdStrike en 2024 ». Elle constate aussi que « la fourniture d’accès en tant que service est devenue une activité florissante, les publicités pour les courtiers en accès ayant augmenté de 50 % d’une année sur l’autre ».
Enfin, la Chine a encore augmenté son activité cyber de 150 %, selon CrowdStrike et constitue la principale menace émanant d’un État-nation. L’entreprise affirme même que « certaines industries ciblées ont subi une augmentation de 200 à 300 % des attaques par rapport à l’année précédente ».