Mardi dernier, des chercheurs d’Okta ont publié un rapport révélant que des pirates exploitent v0, un outil de création de sites web via l’IA de Vercel, pour construire des « sites d’hameçonnage se faisant passer pour des pages de connexion légitimes ». Ces cybercriminels ont réussi à reproduire la page de connexion d’Okta et d’autres plateformes, y compris Microsoft 365, ainsi que des entreprises de crypto-monnaies.
Techniques utilisées par les pirates
Okta indique que les pirates stockent les ressources de leurs pages de phishing, comme les logos d’entreprise, sur l’infrastructure de Vercel pour donner à leurs sites une apparence plus authentique. « Il s’agit d’une tentative d’échapper à la détection basée sur les analyses des journaux CDN, ou hébergées sur des infrastructures disparates ou connues pour être malveillantes », précise le rapport.
Les chercheurs, ayant reproduit ces résultats dans une démo vidéo, qualifient cette situation de « nouvelle évolution dans la militarisation de l’IA générative ». Brett Winterford, vice-président d’Okta Threat Intelligence, a souligné que c’est la première fois qu’Okta constate l’utilisation de l’IA pour bâtir une infrastructure de phishing, dépassant ainsi le simple contenu d’hameçonnage, tel que les emails.
La prolifération de l’IA dans le phishing
Bien que la v0 de Vercel soit un outil propriétaire, de nombreux clones publics existent sur GitHub, ce qui représente un inconvénient du modèle open-source. « Cette prolifération de logiciels libres démocratise effectivement les capacités d’hameçonnage, fournissant les outils nécessaires pour créer sa propre infrastructure de phishing », déclare le rapport.
Pour l’heure, Okta n’a pas encore observé de preuves que ces tentatives des pirates visant à obtenir des informations d’identification aient été fructueuses.
Comment protéger votre entreprise
Selon le rapport, « les organisations ne peuvent plus se fier à l’éducation des utilisateurs pour identifier les sites de phishing suspects ». La défense la plus fiable consiste à lier cryptographiquement l’authentificateur d’un utilisateur au site légitime auquel il s’est inscrit. Ce principe est au cœur du produit d’Okta, FastPass.
Okta recommande également aux entreprises de former leurs employés sur les attaques générées par l’IA et de restreindre l’accès des comptes utilisateurs aux seuls appareils de confiance. De plus, les outils Network Zones et Behavior Detection d’Okta permettent d’appliquer une authentification renforcée, dépassant le cadre de l’authentification à deux facteurs.
Recommandations contre la cybersécurité liée à l’IA
Face à l’augmentation des menaces de cybersécurité alimentées par l’IA, les experts conseillent de mettre en place une architecture de confiance zéro et de réglementer l’utilisation des outils d’IA par les employés. C’est aussi le bon moment pour envisager l’implémentation de clés d’accès (passkeys). L’avantage de ces clés est qu’elles verrouillent les comptes, même si un acteur malveillant réussit à pénétrer un site web, car il ne peut pas accéder à la clé sur l’appareil de l’utilisateur.