Abonnez-vous à la 👉 newsletter

🎤 Faux livreurs : l’arnaque ultra personnalisée (Benoît Grünenwald, Eset)
Monde Numérique31 mars 202613:28
Interviews,Partenariats,

🎤 Faux livreurs : l’arnaque ultra personnalisée (Benoît Grünenwald, Eset)

Jérôme ColombainJérôme ColombainHost
Benoit GrunemwaldBenoit GrunemwaldGuest

Les cybercriminels passent à la vitesse supérieure avec des attaques toujours plus crédibles et automatisées. Entre faille critique sur iOS et arnaques dopées à l’IA, les risques n’ont jamais été aussi élevés.

Interview : Benoît Grünenwald, expert cybersécurité chez ESET

En partenariat avec ESET

Punchlines

  • Les deepfakes deviennent de plus en plus crédibles.

  • Les cyberattaques sont désormais industrialisées.

  • Les données personnelles alimentent les arnaques ciblées.

  • Mettre à jour ses appareils est indispensable.

Parlons tout d'abord ce cette faille iOS particulièrement inquiétante : de quoi s’agit-il ?

Cette alerte va au-delà d’une simple faille. On parle d’un kit d’exploit, c’est-à-dire un ensemble d’outils permettant d’utiliser une vulnérabilité pour prendre le contrôle d’un appareil. Dans ce cas précis, il suffit de visiter un site piégé avec un iPhone non à jour pour être infecté. Le scénario est simple : je reçois un SMS avec un lien, je clique, j’arrive sur un site compromis, et l’exploit s’exécute automatiquement. À partir de là, l’attaquant peut prendre le contrôle total de mon téléphone et accéder à mes données personnelles comme les contacts, les photos ou ma position.

Nouveau sur le marché : les arnaques de livraison à base de deepfakes

En effet, on observe une nouvelle génération d’arnaques utilisant des images générées par IA. Par exemple, je reçois un message d’un prétendu livreur avec une photo d’un colis à mon nom, parfois même avec mon adresse. Ce qui change, c’est la personnalisation et l’industrialisation. Les cybercriminels ne se contentent plus de messages génériques : ils utilisent des bases de données et des outils automatisés pour générer des messages et des images sur mesure à grande échelle. Même si certaines images peuvent sembler imparfaites, elles deviennent de plus en plus crédibles. Et surtout, dans un contexte d’urgence ou de distraction, elles peuvent facilement tromper.

Pourquoi le phishing explose-t-il autant aujourd’hui ?

Les fuites de données jouent un rôle clé. Elles fournissent aux cybercriminels une énorme quantité d’informations personnelles qu’ils exploitent pour rendre leurs attaques plus convaincantes. On observe aussi une diversification des scénarios : colis, sécurité sociale, offres promotionnelles… Par exemple, des fausses offres de cartes de réduction très attractives peuvent inciter à cliquer rapidement sans vérifier. Les attaques sont de mieux en mieux construites, avec des noms de domaine crédibles et des messages personnalisés. Si on prend le temps d’analyser, on peut détecter des incohérences, mais dans la précipitation, le risque d’erreur est réel.

Quels sont les réflexes essentiels pour se protéger ?

Le premier réflexe, c’est la vigilance face aux messages non sollicités, quel que soit le canal : SMS, email ou messagerie. Le second, fondamental, c’est de maintenir tous ses appareils à jour. Dès qu’une mise à jour est disponible, il faut l’installer. C’est une mesure simple mais essentielle pour se protéger contre les failles connues.

Benoit Grûnenwald: [0:01] Quand on est un peu tech, le deepfake, on arrive à voir assez vite que c'est un montage. Benoit Grûnenwald: [0:08] Mais pour quelqu'un qui n'en a pas l'habitude, ça peut paraître très vraisemblable. Et puis surtout, on sait à la vitesse à laquelle l'IA avance et qu'aujourd'hui, c'est moyen. Demain, ça sera mieux et après-demain, ça sera super. On n'y verra que du feu. Monde Numérique : [0:30] Bonjour Benoît Grunenwald. Benoit Grûnenwald: [0:32] Bonjour Jérôme. Monde Numérique : [0:33] Expert cybersécurité chez ESET. Et on se retrouve, comme d'habitude, en partenariat entre ESET et Monde Numérique pour, eh bien, en quelque sorte, la météo de la cybersécurité. Avec pas mal de sujets ce mois-ci, Benoît, dont une alerte qui a fait frémir dans les chaumières, puisqu'elle concerne une plateforme qui, d'habitude, n'est pas trop visée ni vulnérable. Je veux parler de l'iPhone, d'Apple, en tout cas iOS, une faille de sécurité sur iOS qui fait carrément froid dans le dos. Benoit Grûnenwald: [1:04] Oui, ça va même plus loin qu'une simple faille. C'est un kit d'exploit qui a fuité a priori d'une société dont c'est le métier. Monde Numérique : [1:14] Alors, il faut peut-être d'abord expliquer, Benoît, ce qu'est un exploit et un kit d'exploit. Benoit Grûnenwald: [1:19] Oui, alors l'exploit, c'est quoi ? C'est le fait d'avoir une faille, par exemple, sur un système d'exploitation ou sur une application. Et l'exploit, c'est le fait de l'exploiter, c'est-à-dire d'utiliser cette faille pour arriver à ses fins, par exemple pénétrer un système d'information, pénétrer un site web ou dans le cas présent, arriver à rentrer sans être détecté et à rester dans le système d'exploitation iOS. Et donc ce kit d'exploit présente plusieurs éléments qui vont permettre à ceux qui l'utilisent, notamment lorsqu'ils piratent des sites internet, donc soit des sites internet qu'ils contrôlent, soit des sites internet qu'ils piratent, de les paramétrer pour prendre le contrôle d'iOS une fois que vous le visitez. Et c'est ça qui est assez fou, c'est que vous allez, par exemple, recevoir un SMS ou recevoir un lien, vous allez cliquer dessus, ça va vous envoyer sur ce fameux site et là, l'utilisation de l'exploit va se mettre en marche. Monde Numérique : [2:14] Il suffit d'aller sur le site avec son iPhone pour être contaminé. Benoit Grûnenwald: [2:18] Oui, alors c'est presque du zéro clic, ce qui veut dire que si on vous envoie un SMS, il faut quand même que vous alliez cliquer sur le lien pour aller sur le site pour pouvoir ensuite avoir une action, l'exploit zéro clic. Mais par contre, une fois que vous êtes sur le site, il suffit que vous y soyez pour être infecté. Monde Numérique : [2:40] D'accord. Mais c'est quel genre de site ? Parce qu'on dit le site, c'est-à-dire c'est quoi, c'est quel type de site ? Benoit Grûnenwald: [2:46] Eh bien, soit c'est un site que l'attaquant a spécialement préparé, qui va par exemple reprendre les couleurs et usurper une marque telle qu'une marque hyper connue, qui va nous inviter donc à y aller, comme un hameçonnage normal finalement. Soit il va pirater un site internet qui lui est entre guillemets légitime, qui est mal sécurisé ou pas assez sécurisé. Et dans ce cas-là, il va venir injecter ces petits bouts de code qui vont faire que quand on va visiter ce site avec un iOS pas mis à jour, pas récent, on se fera pirater. Monde Numérique : [3:21] Alors derrière, qu'est-ce qu'on risque ? Benoit Grûnenwald: [3:23] On risque la prise totale de contrôle de notre iPhone et puis l'exfiltration d'éléments tels que le carnet d'adresse, les photos, la position, tout ce qui fait que notre vie privée est privée. Monde Numérique : [3:37] Bon, donc, le conseil contre cette cyberarnaque, c'est encore une fois de faire attention aux SMS qu'on reçoit, aux incitations à cliquer sur des sites. Benoit Grûnenwald: [3:50] Oui, exactement. Deux conseils. Le premier conseil, c'est attention à l'hameçonnage d'une manière générale, email, WhatsApp, signal, bref, toutes les messageries, qu'elles soient chiffrées ou non, parce que ça n'a rien à voir. Ainsi que les emails bien entendu qui sont des gros pourvoyeurs de spam d'absonnage et puis ensuite le deuxième conseil est là qui est universel c'est il faut mettre à jour son système d'exploitation que ça soit un ordinateur que ça soit un smartphone iOS Android, sa voiture pourquoi pas son frigo son imprimante sa télé son ordinateur bref tout ce qui peut être mis à jour doit être mis à jour c'est plus que nécessaire. Monde Numérique : [4:31] Il ne faut pas laisser les petites vignettes rouges comme ça affichées pendant des semaines et des mois. Benoit Grûnenwald: [4:38] On est d'accord. Si c'est rouge, c'est que c'est important. Monde Numérique : [4:40] Oui. Autre phénomène ces dernières semaines, Benoît Grunemwald, c'est une arnaque à l'intelligence artificielle. Alors, on a déjà beaucoup parlé ensemble de la manière dont les pirates peuvent utiliser l'IA pour trouver des failles, pour fabriquer des logiciels spéciaux. Là, on est dans le deepfake et un deepfake qui, il faut le dire, là encore, fait un peu peur. Benoit Grûnenwald: [5:04] Oui, alors concrètement, quand on est un peu tech, le deepfake, on arrive à voir assez vite que c'est un montage, mais pour quelqu'un qui n'en a pas l'habitude, ça peut paraître très vraisemblable, et puis surtout, on sait à la vitesse à laquelle l'IA avance, et qu'aujourd'hui, c'est moyen, demain, ça sera mieux, et après-demain, ça sera super, on n'y verra que du feu. Et effectivement, quelle est la relation avec les fuites de données ? C'est que le deepfake, l'image que l'on reçoit, est une image qui présente les mains d'une personne avec un colis. Et sur ce colis, il y a notre nom, notre prénom, parfois même notre adresse postale. Et le message dit « Je suis le livreur et je n'ai pas réussi à livrer votre colis. Veuillez m'aider, cliquez ici, etc. » Et pour, encore une fois, faire matérialiser et nous faire croire que c'est légitime, et bien là ils ont rajouté une photo. Monde Numérique : [6:00] Donc, on a vraiment l'impression que le livreur est dans la rue ou deux rues plus loin avec le paquet entre les mains. La preuve, il nous envoie une photo. Et évidemment, c'est pour nous inciter à aller sur un site où on va se faire détrousser. Benoit Grûnenwald: [6:11] Exactement. Et ce que ça marque en termes de technologie et d'organisation du côté des cybercriminels, c'est une industrialisation. Parce qu'auparavant, on recevait des SMS qui nous disaient « votre code lead n'a pas pu être livré » ou « cliquez ici pour mettre à jour votre carte Amélie », des choses comme ça. Monde Numérique : [6:29] Ce n'était pas nominatif. Benoit Grûnenwald: [6:31] Exactement, ce n'était pas nominatif. Et là, on reçoit un message qui dit Jérôme Benoit Grûnenwald: [6:35] Colombin, j'ai votre colis dans les mains et je n'arrive pas à le livrer. Et regardez, j'ai une photo et c'est bien vous qui êtes votre nom qui est sur le colis. Mais quand les cybercriminels font ça, ils ont industrialisé à la fois la production des SMS avec bonjour, nom, prénom, ainsi que la création de l'image associée qui elle aussi reprend le nom, prénom et en plus souvent l'adresse. Donc là, on est dans quelque chose qui... qui est d'un autre niveau. Monde Numérique : [7:00] Mais en même temps, on sait que c'est faisable. Et en revanche, est-ce qu'on sait si ça leur a demandé beaucoup de travail ? Est-ce qu'ils font ça eux-mêmes à la main, image par image ? Ou il y a déjà des processus d'industrialisation qui peuvent, par exemple, créer ce type d'image par dizaine et ensuite automatiser les envois, etc. Benoit Grûnenwald: [7:20] Alors, on n'a pas encore d'informations complètes et détaillées. On n'a pas encore découvert comment fonctionnaient ces groupes d'attaquants. Mais connaissant bon s'il y a des pirates. Monde Numérique : [7:29] Qui nous écoutent. Benoit Grûnenwald: [7:30] Qui nous le disent qui le témoignent sur le monde numérique tu pourras flouter on les dénoncera bien entendu. Benoit Grûnenwald: [7:38] Et donc on imagine bien entendu qu'ils ne font pas cela à la main et ce qui me fait dire ça c'est que autour de moi j'ai quand même beaucoup de personnes qui en ont reçu donc ça voudrait quand même dire qu'ils ont une capacité de production, extraordinaire je n'y crois pas je crois plutôt que malheureusement ils sont malins malheureusement ils utilisent l'intelligence artificielle et quand on voit comment les kits d'hameçonnage on parlait de kits d'exploit tout à l'heure mais il y a vraiment un marché du kit d'hameçonnage vous ne savez pas forcément le faire ni comment et bien vous allez dans différents endroits et vous cliquez et vous achetez, Et vous pouvez avoir accès à un kit d'hameçonnage qui va, pour vous, faire beaucoup, beaucoup, beaucoup de choses. Donc, on pourrait, moi, j'aurais plutôt tendance à imaginer que ces kits d'hameçonnage aient évolué, les éditeurs de kits d'hameçonnage aient rajouté, pourquoi pas, une API ou un MCP ou des agents, des bots IA, auxquels on va dire, voici la base de données, nom, prénom, adresse, le numéro de téléphone pour l'hameçonnage par SMS, l'adresse e-mail. Et voici un lien et un token pour aller créer la fameuse image en conséquence et donc ils vont créer tout ça soit dynamiquement soit a priori et puis ensuite utiliser un outil qu'on pourrait presque appeler un outil d'emailing marketing et dire bonjour monsieur Jérôme Colombin voici votre colis voici l'image et hop j'envoie tout ça. Monde Numérique : [9:05] Donc, ça automatise tout ça. Alors bon, on se disait juste avant d'enregistrer, Benoît, que ces images, moi, ce qui me gêne, effectivement, elles sont crédibles, même si parfois, elles ne sont pas si réalistes. Mais ce que je disais, c'est que ce n'est pas dans les usages, en fait. Aujourd'hui, à ma connaissance, les livreurs n'envoient pas de photos à ce stade de la livraison. Parfois, il peut y avoir une photo pour dire, voilà, le paquet est dans votre boîte aux lettres, regardez, j'envoie un cliché. Moi, personnellement, je n'ai jamais reçu de photos pour dire « j'ai le colis entre les mains ». Benoit Grûnenwald: [9:37] Moi non plus. Monde Numérique : [9:38] De manière, vous voyez ce que je veux dire ? Benoit Grûnenwald: [9:40] De manière préventive, enfin en tout cas avant la livraison. Je suis tout à fait d'accord. Monde Numérique : [9:45] C'est une pratique qui n'existe pas dans le processus de livraison, en tout cas à ce jour. Benoit Grûnenwald: [9:50] Non, mais est-ce que cette réflexion ne vient pas de quelqu'un qui commande régulièrement et qui a l'habitude ? Monde Numérique : [9:57] Oui, je le confesse. Benoit Grûnenwald: [9:59] On en est deux. et qui au final connaît déjà les pratiques. Mais après, même six mois, je commande effectivement régulièrement. Et puis, je me dis, tiens, mon livreur, il est passé à un autre niveau. Il s'est mis au goût du jour. Et puis, au lieu de me faire un petit message dans l'application, de m'envoyer un SMS en me disant, j'arrive bientôt. Il me dit, je suis là, regardez, en plus, j'ai votre colis, je n'arrive pas à vous livrer. Je pense qu'en termes de personnalisation et de relation, ça ne me semblerait pas… Ça peut. Monde Numérique : [10:26] Marcher, bien sûr. Non, non, ça peut marcher. Benoit Grûnenwald: [10:30] Et puis, si ça ne marche pas sur nous, ça marchera sur quelqu'un d'autre. Et si ça ne marche pas sur nous, d'autres techniques pourront marcher sur nous. Parce que je suis sûr qu'à un moment ou un autre, je serai fatigué, je serai occupé à autre chose. Et je me ferai avoir. Monde Numérique : [10:49] Ça, on peut tous se faire avoir. Et c'est vrai que souvent, le sentiment d'urgence accélère les choses et pose des problèmes. Monde Numérique : [10:58] Dernier point, Benoît, et c'est un peu lié à tout ça, en fait. Je crois que d'une manière générale, tous les processus, toutes les actions d'hameçonnage sont en plein boom actuellement. Benoit Grûnenwald: [11:11] Oui, encore une fois, c'est difficile à quantifier. Mais ce qui est sûr, c'est qu'avec les fuites de données que l'on voit aujourd'hui, on voit qu'il y a énormément de matière pour que les cybercriminels puissent créer ces fameux emails d'hameçonnage. Les sujets sont assez divers c'est-à-dire qu'on a eu auparavant des campagnes qui étaient plutôt. Benoit Grûnenwald: [11:33] Monomaniaques entre guillemets c'était Amélie pendant des mois ensuite c'était les livraisons de colis, le bonjour vous êtes chez vous etc. Et là on s'aperçoit que sur les dernières semaines on a un certain nombre de sujets différents qui tentent de nous hameçonner, récemment des offres extrêmement promotionnelles et attirantes pour les cartes Grand Voyageur de la SNCF à des prix tout à fait discount. On parlait de l'urgence, prix affiché 50 euros, prix proposé une dizaine d'euros. Bon, on est vraiment dans, tiens, je prépare mes vacances du mois d'avril, je prépare mes ponts en mai, je prépare mes grandes vacances juillet-août. Je vais profiter de cette offre de carte Grand Voyageur. Et le, le mécanisme est assez bien fait encore une fois quand on va vite parce que l'adresse email est une adresse email sur ce que j'ai pu voir est une adresse email qui n'était pas très ressemblante par contre quand on clique le nom de domaine, était lui très ressemblant avec un sous-domaine SNCF et puis ensuite carte quelque chose comme carte-avantage.com donc là on voyait bien SNCF carte-avantage c'était assez, assez bien fait bon il y avait des petites choses qui ne marchaient pas par exemple si on voulait cliquer sur son compte, le site en lui-même ne fonctionnait pas ce qu'on pouvait juste faire c'est remplir le formulaire et payer donc si on investigue un peu on est quand même en capacité de se rendre compte que c'est une arnaque. Monde Numérique : [13:00] Bien sûr mais on n'a pas tout le temps ni le temps ni même les compétences pour faire ça donc prudence prudence prudence on ne le dira jamais assez merci beaucoup Benoît Grunenwald expert cybersécurité chez ESET pour cette météo en quelque sorte de la cybersécurité. Benoit Grûnenwald: [13:18] Merci Jérôme.
innovation,informatique,technologies,tech news,High-tech,numérique,actualités,tech,actu tech,