À l’occasion du Mois de la sécurité sur Internet, les règles qui permettaient jusqu’ici de repérer une escroquerie en ligne montrent leurs limites. Pendant des années, le conseil tenait en quelques réflexes. Se méfier des e-mails mal orthographiés, des formulations maladroites, et écouter son instinct. L’intelligence artificielle a effacé ces signaux. Un e-mail de phishing peut désormais sembler provenir d’une banque. Un appel téléphonique peut imiter à la perfection la voix d’un dirigeant. Une vidéo deepfake peut faire dire à une personne des mots qu’elle n’a jamais prononcés. Anne Cutler, experte en cybersécurité chez Keeper Security, alerte sur un point. La plupart des utilisateurs continuent de s’appuyer sur des indices devenus inopérants, sans même en avoir conscience. Et la meilleure défense reste la protection des identifiants.
« Les règles traditionnelles permettant de détecter une escroquerie en ligne ne s’appliquent plus à l’ère de l’IA. Pendant des années, le conseil était simple : surveiller les e-mails mal orthographiés, les formulations maladroites, et écouter son instinct. L’IA a effacé ces signaux. Aujourd’hui, un e-mail de phishing peut sembler provenir de votre banque, un appel téléphonique peut ressembler à s’y méprendre à celui de votre PDG et une vidéo deepfake peut faire dire à quelqu’un des mots qu’il n’a jamais prononcés. Les indices sur lesquels nous nous appuyions ont disparu, et la plupart des gens ne s’en rendent même pas compte.
C’est ce qui rend ce mois de la sécurité sur Internet différent. La conversation ne peut pas s’arrêter à « penser avant de cliquer », car les cybercriminels conçoivent désormais des attaques hautement convaincantes et personnalisées, conçues pour exploiter la confiance au moment où elle est la plus forte. Et bien trop souvent, ce qu’ils visent est le même : vos identifiants.
Les identifiants de connexion et les mots de passe restent les clés de tout ce que les gens font en ligne, qu’il s’agisse de la banque, de la messagerie, de la santé ou du travail, c’est pourquoi les protéger est toujours la meilleure défense disponible. Cela signifie utiliser des mots de passe forts et uniques pour chaque compte, ne jamais les réutiliser sur plusieurs sites, activer la multifactorisation lorsque c’est possible et utiliser un gestionnaire de mots de passe pour rendre la gestion des mots de passe forts durable. Lorsque les passkeys sont prises en charge, elles offrent une alternative encore plus sûre en éliminant le mot de passe. Il est également conseillé de surveiller si vos identifiants ont été divulgués sur le dark web, afin de pouvoir agir avant que les pirates ne le fassent.
L’IA rend ces attaques plus convaincantes que jamais. La seule réponse efficace consiste à être plus vigilant quant aux mesures de protection de base. »