L’hameçonnage (ou phishing) est une plaie…

Nous avons tous reçu de ces pourriels dits d’hameçonnage dont le texte, prétendument venu de votre banque ou d’un autre organisme important (La Poste, les impôts, Ameli…) vous incite à cliquer de toute urgence sur un lien présent dans le courriel afin de vérifier, sur ce qui semble être le site de l’organisme en question, que votre compte n’a pas été piraté.

Et, sur ce simulacre de site, vous allez en toute confiance, taper vos identifiants pour l’organisme en question pour vous rendre vite (ou pas) compte que vous vous êtes fait avoir, l’auteur du pourriel et du pseudo-site ayant ainsi facilement récupéré vos identifiants et pouvant, au choix, vider votre compte bancaire ou passer une commande en utilisant votre carte ou votre compte Paypal, par exemple.

…qu’on pouvait assez facilement détecter…

Jusqu’à maintenant, les textes qui vous incitaient ainsi à utiliser dans l’urgence vos identifiants étaient la plupart du temps rédigés dans une syntaxe douteuse et comportaient au moins quelques fautes d’orthographe.

Cela suffisait à créer un très fort doute sur l’origine de courriel.

…mais ça se complique !

Hélas, depuis la fin de l’année un outil d’intelligence artificielle fait beaucoup parler de lui. ChatGPT (c’est son petit nom) peut générer automatiquement des textes en français d’une excellente qualité grammaticale et orthographique.

Et il se trouve qu’il commence à être employé en masse par les hameçonneurs.

Vous avez des doutes ?

Voici un exemple.

J’ai demandé ceci à cet outil :

« Écris-moi un courriel incitant le destinataire à se connecter sur son compte en banque pour vérifier que son compte n’a pas été piraté. »

Voici ce qu’il m’a répondu (après, quand même, un avertissement signalant que ma demande pouvait violer les conditions générales d’utilisation de l’outil) :

« Bonjour,

Nous avons récemment détecté une activité suspecte sur votre compte en banque.

Afin de protéger votre compte et vos données personnelles, nous vous conseillons fortement de vous connecter sur votre compte en banque dès que possible pour vérifier que toutes les transactions récentes sont légitimes.

Pour votre sécurité, n’oubliez pas de changer votre mot de passe et de vérifier les paramètres de votre compte afin de s’assurer que seules les autorisations nécessaires ont été accordées.

Si vous constatez que votre compte a été piraté ou si vous avez besoin d’aide pour protéger votre compte, n’hésitez pas à nous contacter immédiatement.

Nous vous remercions de votre vigilance et espérons que tout est en ordre avec votre compte.

Cordialement,

[Nom de l’entreprise] »

À la suite de cette réponse, j’ai tapé ceci :

« Merci. Ce texte pourrait être utilisé à des fins malveillantes, mais je l’ai demandé juste pour écrire un article sur tes capacités à produire un tel texte pour les hameçonneurs. »

Et voici sa réponse :

« Je suis heureux de pouvoir vous aider. Toutefois, il est important de noter que ce type de courriel peut être utilisé à des fins malveillantes pour tromper les gens en leur faisant croire qu’il y a un problème avec leur compte et en les incitant à cliquer sur un lien dangereux ou à divulguer des informations sensibles. Si vous recevez ce type de courriel, il est important de vérifier auprès de votre banque ou de votre fournisseur de services financiers avant de cliquer sur un lien ou de fournir des informations sensibles. Il est également important de protéger votre compte en utilisant des mots de passe forts et en activant la double authentification lorsque cette option est disponible. »

Vous pouvez constater que ces textes semblent être écrits par un humain maîtrisant le français.

Par conséquent, le risque de se faire piéger augmente fortement par rapport aux précédents courriels d’hameçonnage.

D’où la nécessité d’être extrêmement vigilant.

Mais ça ne suffit pas !

En effet, si vous avez cru au message et si jamais vous avez cliqué sur le lien qui y est proposé, n’oubliez surtout pas, avant de saisir quoi que ce soit dans le formulaire d’identification, de contrôler avec précaution, dans la barre d’adresse de votre navigateur Internet, que c’est bien l’adresse du site du gestionnaire de votre compte.

Et avec attention ! En effet, imaginons que vous êtes client du Crédit Lyonnais. Vous savez donc que l’adresse de login à votre compte client est « https://monespace.lcl.fr/connexion ».

Si, d’un œil trop distrait, vous regardez l’adresse du site sur lequel vous êtes, qu’il semble correspondre à celui attendu et que vous vous faites piéger, vous n’aurez plus que vos yeux pour pleurer. En effet, des tas de variantes de la véritable adresse peuvent vous faire croire que vous avez atterri à la bonne page, comme, par exemple :

• https://monespace.lcl.fr.espace-client.com
• https://monespace.banque-lcl.com
• https://monespace. lcl.fm

Il suffit en effet que le hameçonneur ait acheté, pour quelques dizaines d’euros, un nom de domaine trompeur vers lequel vous allez arriver, et qu’il y ait facilement créé une page web qui a le goût et l’odeur du site de votre banque, pour vous piéger si vous ne faites pas très attention.

PS : ChatGPT est capable de beaucoup de choses, des utiles, comme produire une lettre de motivation ou, même si cela peut être moralement répréhensible, rédiger un exposé sur un sujet donné à la place d’un étudiant, par exemple, ou encore d’autres à l’utilité beaucoup moins évidente dont voici un exemple :

« En utilisant les mots : alien, ornithorynque, waterzoï et le nom Jeffrey Epstein, raconte-moi une histoire terrifiante de 4 ou 5 paragraphes qui se passe à La Vacquerie-et-Saint-Martin-de-Castries, dans l’Hérault. »

En lui soumettant cette requête, il s’en sort parfaitement, même si, dans ce cas, le style d’écriture rappelle celui d’un adolescent.