Le phishing généré par LLM
Le phishing est l'une des attaques les plus répandues dans le monde de la Cybersécurité. Avec l'arrivée des outils proposés par les LLM, on observe depuis 2024 une transformation de ces attaques.
Contexte et problématique
Le phishing, consiste à usurper l'identité d'une personne ou d'une entreprise pour tromper la victime et lui soutirer des informations sensibles (Argent, projets..). Jusqu'à là, ces attaques étaient faciles à repérer : fautes d'orthographe ou encore expéditeurs douteux permettaient de les identifier.
Mais depuis l'apparition des LLM's, la situation a évolué. Les cyber-attaquants disposent maintenant d'une nouvelle boite à outils qui fait le plus gros du boulot. En 2025, plusieurs rapports ont montré une explosion du nombre d'attaques exploitant l'IA, avec une augmentation de plus de 300% selon certaines sources.
Comment l'IA change le phishing
Avant, créer une campagne de phishing ciblée demandait du temps et des compétences linguistiques. L'attaquant devait rédiger manuellement chaque message, en essayant d'imiter le style de la personne ou de l'entreprise usurpée. Avec les LLM's, ce processus est complètement automatisé.
Génération de contenu personnalisé
Certains modéles LLM peuvent analyser des profils publics sur LinkedIn, Twitter ou d'autres réseaux, puis générer des mails qui reprennent le vocabulaire, le ton et même les centres d'intérêt de la victime. Par exemple, un mail frauduleux peut mentionner un projet récent de l'entreprise ou faire référence à un événement auquel la victime a participé.
Le cas du "vishing" par deepfake vocal
Au-delà des mails, on voit apparaître des attaques par téléphone utilisant des voix reproduites par LLM. Des outils comme ElevenLabs ou Resemble.ai permettent de cloner une voix à partir de quelques secondes d'enregistrement seulement. En 2025, plusieurs cas de "fraude au président" ont été rapportés : un employé reçoit un appel soit-disant de son patron lui demandant de réaliser un virement urgent. La voix est tellement convaincante qu'il tombe dans le panneau.
Un exemple concret : en mars 2025, une entreprise française a perdu près de 2 Millions d'euros après qu'un comptable ait reçu un appel vocal d'un faux directeur financier. L'enquête a révélé que les attaquants avaient utilisé des extraits d'interviews publiques pour recréer la voix du directeur.
Mails adaptatifs et interactifs
Une autre évolution inquiétante concerne les chatbots malveillants. Les attaquants mettent en place de faux services clients alimentés par LLM qui engagent la conversation avec les victimes. Ces bots sont capables de répondre de manière naturelle et d'adapter leur discours en fonction des réponses, ce qui rend l'arnaque encore plus crédible. Par exemple, un faux support technique peut diagnostiquer un problème informatique fictif et guider l'utilisateur vers l'installation d'un malware.
Les chiffres qui alertent
Plusieurs études ont documenté cette évolution préoccupante :
- D'après le Blog du Modérateur, 87% des entreprises interrogées en 2025 ont signalé avoir été ciblées par au moins une tentative de phishing assisté par LLM.
- Le coût moyen d'une attaque réussie a augmenté de 40% entre 2024 et 2025, car il est plus difficile d'identifier un mail frauduleux d'un mail officiel.
- Le temps de détection moyen est passé de 3 jours pour un phishing classique à plus de 3 semaines pour une attaque exploitant les LLM, selon un rapport de Guardia School.
- Euronews rapporte que les pertes liées au phishing via LLM en Europe pourraient dépasser les 2,8 milliards d'euros en 2026.
Comment se protéger ?
Face à ces menaces, les entreprises et les particuliers doivent adapter leurs pratiques.
Solutions
De nombreux éditeurs de sécurité ont développé des outils de détection basés eux aussi sur des LLM. Des solutions comme Proofpoint, Darktrace ou Microsoft Defender analysent les emails et détectent les mails frauduleux générés par LLM. Ces outils apprennent les habitudes de communication normales d'une entreprise et signalent les messages suspects.
Pour le deepfake vocal, des entreprises comme Pindrop ou Nuance ont créé des technologies d'authentification vocale qui analysent des centaines de paramètres audio pour détecter les fausses voix.
Bonnes pratiques
Les outils ne suffisent pas, il faut aussi revoir ses pratiques au quotidient :
- Double validation systématique : toute demande de virement ou de transfert de données sensibles reçue par email ou téléphone doit être confirmée par un appel sur un numéro connu ou en face à face.
- Phrases de sécurité : certaines entreprises mettent en place des mots de passe partagés entre collègues face à face. Si quelqu'un demande une action sensible, on lui pose une question dont seul le vrai interlocuteur connaît la réponse.
- Formation régulière : organiser des sessions de sensibilisation avec des exemples concrets d'attaques récentes. Certaines entreprises vont jusqu'à simuler de fausses attaques pour tester leurs équipes (campagnes de phishing).
- Limiter l'exposition publique : Réduire le partage d'informations liés à l'entreprise sur les réseaux.
Conclusion
Le phishing assisté par LLM représente un nouvel ère des attaques. Avant, on pouvait repérer un email frauduleux grâce aux fautes d'orthographe ou au style approximatif. Ce n'est plus le cas aujourd'hui. Les attaques sont maintenant presque indétectables.
La riposte doit être à la fois technique (solutions de détection par LLM) et humaine. C'est un domaine que je vais continuer à suivre de près, car je suis convaincu qu'on n'a pas encore vu toutes possibilités liés aux attaques par LLM.
Sources
- Blog du Modérateur, "Cybersécurité : les 4 grandes tendances à suivre en 2026", 8 décembre 2025
https://www.blogdumoderateur.com/cybersecurite-tendances-2026/ - Euronews, "Cybersécurité 2026 : des intrusions liées à l'IA aux menaces géopolitiques croissantes", 11 janvier 2026
https://fr.euronews.com/next/2026/01/12/cybersecurite-2026 - Splashtop, "Principales tendances en matière de cybersécurité pour 2026", 6 novembre 2025
https://www.splashtop.com/fr/blog/top-cybersecurity-trends-2026 - Guardia School, "Les perspectives de la cybersécurité en 2026", 6 janvier 2026
https://guardia.school/le-lab/les-perspectives-de-la-cybersecurite-en-2026.html - ANSSI, Panorama de la menace informatique 2025 (consulté en janvier 2026)