Les chercheurs de l’équipe Recherche prospective sur les menaces de la société de sécurité IA TendanceAI ont développé un outil capable de collecter automatiquement les publications publiques, les photos et les informations des profils LinkedInanalysez-les grâce à l’intelligence artificielle et transformez-les en e-mails de phishing hautement personnalisés, accompagnés d’un faux site Web, conçu sur mesure pour la victime. Le tout créé par une seule personne, sans violer aucune réglementation en matière de confidentialité, en utilisant uniquement des données accessibles au public. Et savez-vous combien de temps il leur a fallu pour orchestrer cette simulation d’arnaque ? Moins de 30 minutes ! Ce qui rend ce scénario particulièrement pertinent n’est pas la complexité technique de l’opération, mais la rapidité d’exécution et la simplicité avec laquelle elle a été mise en place : les outils nécessaires sont déjà disponibles, bon marché et à la portée de quiconque a la motivation de les utiliser. Et cela change radicalement le paysage des cybermenaces pour les entreprises et les professionnels, car cela signifie que quiconque publie sur LinkedIn ses activités, comme les conférences auxquelles il a participé, les projets suivis, les avis de professionnels, etc., fournit sans le savoir la matière première à d’éventuelles attaques ciblées.
La nouvelle frontière du spear phishing avec l’IA
Commençons par un fait. Les renseignements dits open source ou OSINT (Intelligence open source), c’est-à-dire l’analyse des informations accessibles au public, a radicalement changé avec la « démocratisation » de l’IA. Autrefois, cela nécessitait des compétences spécialisées et beaucoup, beaucoup de temps ; aujourd’hui ça peut être réalisé automatiquement grâce à l’intelligence artificielle. Cela abaisse drastiquement le seuil d’entrée, car il n’est pas forcément nécessaire d’avoir des équipes structurées ou des ressources avancées pour analyser de grandes quantités de données : il suffit d’avoir les bons outils et de savoir les utiliser.
Pour démontrer comment l’IA a totalement réécrit les règles du jeu, les chercheurs de TrendAI ont développé une système expérimentalce qu’on appelle dans le jargon un PoC (Preuve de concept), c’est-à-dire une démonstration pratique de faisabilité, capable de collecter des données publiques de LinkedIn et les transformer en profils détaillés à utiliser à des fins malveillantes. Le processus part d’éléments très courants : les publications, les images et les métadonnées, c’est-à-dire toutes ces informations « cachées » associées au contenu, comme les dates, le contexte ou les relations entre les éléments, qui aident à mieux interpréter ce qui est vu.
Ces informations ont d’abord été collectées automatiquement (les chercheurs y sont parvenus malgré les outils anti-scraping dont LinkedIn est doté) puis elles ont été organisées en un structure qui a reconstruit toute une hiérarchie d’entreprise: qui travaille où, dans quel rôle et avec quel niveau de responsabilité. Cette étape était fondamentale, car elle a permis aux chercheurs de comprendre non seulement qui est une personne, mais aussi dans quelle mesure elle peut influencer les décisions au sein de l’entreprise.
Un aspect particulièrement intéressant concerne l’analyse d’images. Il ne s’agit pas seulement de « voir » ce qu’il y a sur une photo, mais de l’interpréter dans le contexte du message dans lequel elle a été publiée. L’intelligence artificielle est capable de déduire le message professionnel que l’auteur a voulu véhiculer, ses centres d’intérêt, les événements auxquels il participe et même son réseau de contacts. En d’autres termes, les images et le texte deviennent une source d’informations unique, bien plus riche que la somme de leurs parties individuelles.
Une fois ces profils construits, le système peut franchir une étape supplémentaire : identifier les questions qui intéressent le plus chaque individu. Ce processus s’appuie sur l’analyse linguistique, c’est-à-dire l’étude automatique de la langue utilisée dans les posts, pour identifier les sujets récurrents et pertinents. Ces thèmes deviennent la base pour créer des messages hautement personnalisés.
Et c’est là que ce qu’on appelle entre en jeu phishing. Contrairement au phishing « classique » – celui basé sur l’envoi massif de messages génériques à des utilisateurs aléatoires, pour ainsi dire – le spear phishing est ciblé : chaque communication est taillée sur mesure pour une victime spécifiqueen utilisant des informations réelles pour rendre tout aussi crédible et moins suspect que possible. Le système analysé est capable de générer des e-mails qui font directement référence au rôle de la personne, aux contenus qu’elle a partagés et aux événements auxquels elle a participé.
Et ce n’est pas tout : cela peut aussi déduire des adresses e-mail professionnelles. En analysant des exemples publics, identifiez le format le plus probable (comme nom.prénom@entreprise.com) et génère plusieurs variantes plausibles. Cela augmente encore les chances de réussite d’une attaque.
La dernière étape est la créer un faux site Webconçu pour paraître réel et conforme aux intérêts de la victime. En quelques minutes seulement, l’IA peut créer une page complète, avec des images, des statistiques et des références à de véritables frameworks industriels. De cette manière, un environnement crédible est construit, conçu pour convaincre l’utilisateur d’interagir, par exemple en saisissant les informations d’identification ou en téléchargeant du contenu.
Du scraping LinkedIn à l’attaque : les escroqueries en 30 minutes
L’aspect le plus inquiétant de l’expérience concerne le moment de l’attaque. L’ensemble du processus, de la collecte de données à la création de contenu de phishing, a été réalisé en moins de 30 minutes. Cela change complètement l’ampleur du problème : ce qui nécessitait auparavant des heures ou des jours de travail manuel peut désormais être reproduit rapidement et à grande échelle. Et d’une seule personne.
En commentant l’expérience, en effet, les chercheurs de TrendAI ont expliqué :
Création de notre outil d’analyse basé sur l’IA pour LinkedIn il a fallu à un seul chercheur un peu plus de 24 heures de travailen utilisant Claude Code. (…) Profiler l’ensemble de l’équipe de direction d’une entreprise, depuis l’extraction de publications publiques de LinkedIn jusqu’à la génération de pages de phishing personnalisées, prend moins de 30 minutes, et tout cela avec un outil de preuve de concept (PoC).