Les cyberattaques à distance sont déjà en hausse. De nouvelles menaces sont identifiées dans le rapport “CrowdStrike Threat Hunting Report“. Les hackers infiltrent désormais l’entreprise de l’intérieur. Ils contournent ainsi les défenses techniques en exploitant la confiance humaine via des deepfakes.
“Famous chollima, de la République populaire démocratique de Corée (RPDC), mène des opérations de menaces internes à un rythme opérationnel exceptionnellement élevé. Au cours des 12 derniers mois, CrowdStrike OverWatch a enquêté sur plus de 320 incidents où des agents de Famous chollima ont obtenu des emplois frauduleux de développeurs de logiciels à distance. Famous chollima a pu maintenir ce rythme grâce à l’intégration d’outils d’IA générative qui automatisent et optimisent les flux de travail à chaque étape du processus de recrutement”, constatent les auteurs du rapport.
Une attaque réalisée à l’aide des IA génératives
À l’aide d’ IA génératives, cette nouvelle forme d’attaque permet aux acteurs malveillants de créer un faux CV, un profil LinkedIn, des portfolios… pour candidater à un poste de développeur, de consultant cloud ou d’ingénieur cyber. Tous les éléments nécessaires aux recruteurs sont créés en quelques instants.
Vient l’étape de l’entretien en visioconférence. L’utilisation de logiciels pour créer de faux visages et voix permet de passer les entretiens et de répondre avec l’IA aux questions techniques. Arrive alors l’embauche : le candidat est recruté. Il obtient ainsi un accès légitime au SI, aux dépôts Git, au cloud, aux messageries… Le hacker, lentement mais sûrement, peut alors observer les systèmes, voler et collecter les informations avant de mener son attaque. L’entreprise a alors embauché en réalité non pas un RSSI ou DSI mais un acteur malveillant placé au cœur de son système d’information.
Pourquoi cette menace explose-t-elle en 2025 ?
Plusieurs facteurs font que ce type de menace se développe. Le télétravail normalise le recrutement en visioconférence et élimine ainsi le contrôle physique. Les vérifications d’identité sont souvent non techniques et passent par de vagues interrogations orales et non vérifiées. Les outils d’IA en ligne et à faibles coûts permettent une traduction en temps réel, la création de visages synthétiques et l’assistance à la réponse auprès de l’employeur.
Les autres fakes sont également en hausse
Au-delà des deepfakes RH, le rapport montre l’explosion des arnaques par téléphone atteignant +442 % en un an. L’une des techniques vise à imiter un employé de l’assistance informatique pour forcer la réinitialisation du MFA. La demande de réinitialisation de compte se fait avec de véritables éléments et informations personnels obtenus sur le dark deb. L’usurpation de la voix d’un décideur permet également d’ordonner un virement ou une annulation de sécurité.
Avec ces techniques, le problème est que les attaques deviennent “légitimées” par un contrat de travail et donc l’entreprise est responsable du fait de sa négligence. NIS2 prévoit des mesures de vérification des ressources humaines pour éviter ces attaques.
