Andrea Galeazzi a récemment partagé son expérience d’un vol d’identité qui a entrainé la perte de son canal YouTube. Dans un récit détaillé, il soulève les dangers des escroqueries modernes, marquées par des techniques de phishing de plus en plus sophistiquées, où la confiance joue un rôle central pour piéger les victimes.
Après un vol de compte retentissant, Andrea Galeazzi a abordé l’un des moments les plus éprouvants de sa carrière. Dans une vidéo récente, le blogueur milanais a expliqué en détail la fraude qui a conduit à la perte de son canal YouTube, devenu une référence en matière de critiques de produits tech. « Je ne pensais pas être au cœur de l’actualité pour une telle raison, et pourtant, ça m’est arrivé : j’ai été piraté. Moi qui parle technologie chaque jour, comme certains l’ont fait remarquer« , a reconnu Galeazzi.
Comment un expert comme Galeazzi a-t-il pu tomber dans un piège aussi simple qu’un courriel de phishing ? Selon ses propres dires, les escroqueries de ce type deviennent de plus en plus sournoises et raffinées. Au cœur de cela se trouve une nouvelle technique de manipulation sociale, inspirée par la psychologie, qui utilise l’intelligence artificielle pour personnaliser l’escroquerie en fonction des habitudes en ligne de la victime, exploitant ainsi ce sentiment qui fait baisser la vigilance : la confiance.
Le courriel « parfait » qui déclenche le piège
Comme l’a relaté Galeazzi, le courriel déclencheur de l’attaque provenait d’une marque réelle avec laquelle il avait déjà collaboré. Le message était parfaitement contextualisé, construit à partir de détails authentiques, exempt des erreurs de traduction souvent associées à ce type de communication. « Nous avons constaté que certains abonnés se plaignent de la qualité sonore de vos vidéos« , affirmait le courriel, proposant l’envoi d’un nouveau modèle de microphone pour une évaluation gratuite. Tout semblait plausible. De telles propositions sont courantes dans ce milieu, et Galeazzi avait réellement reçu des retours sur une audio un peu trop « étouffée » dans ses derniers contenus.
Pour recevoir l’appareil, Galeazzi devait confirmer son identité. Le lien menait donc à une page soignée, claire, sans éléments suspects. Mais une fois l’opération terminée, le blogueur réalisa immédiatement l’étendue des dommages. En moins de vingt secondes, les mots de passe, contacts de récupération et systèmes d’accès avaient été modifiés. En quelques minutes, son canal historique, fruit de plusieurs années de travail, avait changé de nom et diffusait déjà en direct des « contenus » sur les cryptomonnaies.
Qu’est-ce que le social engineering renforcé par l’IA ?
Après un bref moment de découragement, Galeazzi a réussi à contacter Google et à récupérer son compte, même si une grande partie de l’historique du canal semble perdue. Cet incident a cependant permis d’attirer l’attention sur une nouvelle forme de cybercriminalité qui utilise la puissance de l’intelligence artificielle non pas pour forcer les systèmes, mais pour que les victimes elles-mêmes transmettent les clés de leurs coffres-forts virtuels.
Ce type de manipulation psychologique est désigné sous le terme de social engineering et repose sur des méthodes anciennes de filature et d’observation pour cerner les habitudes des victimes et tisser une toile d’illusions crédibles. Au lieu de filatures, les hackers exploitent l’IA pour explorer le web à la recherche d’informations exploitables.
En posant les bonnes questions, l’IA peut analyser des profils sociaux, des sites web et toutes données publiques de la victime afin de créer des messages de phishing sur mesure, semblant provenir d’une source fiable ou entraîner des bots se faisant passer pour une connaissance ou un service d’assistance, menant inévitablement à des demandes de paiement ou de données sensibles.
Comment se prémunir contre les escroqueries personnalisées par l’IA
L’incident de Galeazzi illustre que vérifier l’URL des pages suspectes ou faire confiance à son intuition ne suffit plus. Même l’authentification à deux facteurs peut échouer si l’utilisateur accorde sans le savoir l’accès. La solution doit passer par des outils plus rigoureux. Le créateur en a recommandé quelques-uns :
- Clés physiques : de petites clés USB pour valider l’identité de l’utilisateur avant d’accorder l’accès à un compte ou un programme. Cet outil est très sécurisé, car il utilise un système de cryptomonnaie avancée et doit être « physiquement » présent lors de la saisie des identifiants.
- Passkey : un autre outil de cryptomonnaie avancée à double clé (une publique, enregistrée sur le site, et une privée sur l’appareil personnel) qui remplace ou complète les mots de passe par des PIN ou des données biométriques, telles que la reconnaissance faciale ou l’empreinte digitale.
- Programmes de protection avancée : un service proposé par Google, accessible à tous, bien qu’originellement conçu pour les profils exposés publiquement, comme les politiques, les célébrités ou les journalistes.
- N’utiliser pas le même mot de passe partout : séparer les comptes pour éviter qu’un seul email ne devienne « la porte d’entrée de toute la vie numérique ».
En plus de ces suggestions, l’Agence de cybersécurité d’Amérique (CISA), qui protège les entreprises et les secteurs stratégiques des États-Unis contre les attaques informatiques, propose d’autres conseils. Bien qu’adaptées à un usage professionnel, elles peuvent également être utiles aux particuliers. Ces recommandations incluent le fait de se méfier des demandes de mots de passe ou de données privées qui ne suivent pas un processus formel, de rechercher sur les sites l’icône d’un cadenas fermé (indiquant que les informations seront cryptées) et de ne jamais révéler d’informations essentielles par le biais de courriels privés. Mieux vaut prendre cinq minutes pour contacter l’interlocuteur par téléphone que de regretter ses actions après avoir cliqué sur le mauvais lien.