Avertissement : Plus de 1,8 milliard d'utilisateurs de Gmail sont confrontés à une nouvelle forme de cyberattaque très sophistiquée

Une forme inédite de cyberattaque menace plus de 1,8 milliard d'utilisateurs de Gmail dans le monde. Contrairement aux escroqueries par hameçonnage traditionnelles, cette menace exploite l'intelligence artificielle (IA) pour inciter les utilisateurs à fournir des informations sensibles telles que leurs mots de passe ou leurs données personnelles.

Les experts en sécurité avertissent qu’il s’agit d’une tendance émergente dangereuse, mais la plupart des utilisateurs n’en sont pas du tout conscients.

Cette attaque cible Gemini, l'assistant IA intégré à Gmail et à de nombreux autres services Google. Les pirates ont astucieusement inséré des commandes cachées dans le contenu des e-mails.

Lorsque l'utilisateur utilise la fonctionnalité «Résumé de cet e-mailGemini ne lit pas le texte affiché comme prévu, mais traite les commandes cachées pré-insérées. Ainsi, l'IA peut créer de fausses alertes très convaincantes, faisant croire aux utilisateurs que leurs comptes ont été compromis.

Certains spams peuvent prétendre qu'un compte Gmail a été piraté, et inclure un faux numéro de téléphone d'assistance technique. Les victimes sont incitées à appeler ce numéro, qui appartient à l'escroc, et non à Google.

L'astuce utilisée est extrêmement sophistiquée, les commandes malveillantes sont cachées sous forme de texte blanc sur fond blanc, avec une taille de police de 0, ce qui les rend impossibles à détecter à l'œil humain.

Cependant, des outils d'IA comme Gemini peuvent facilement lire ces lignes « invisibles » et être amenés à réagir selon les instructions de l'attaquant. Il s'agit d'un nouveau type d'attaque appelé « injection rapide », qui exploite les faiblesses du traitement du texte par l'IA.

L'équipe de sécurité 0Din de Mozilla a été l'une des premières à découvrir l'astuce, montrant comment Gemini peut être manipulé pour afficher de faux avertissements qui imitent les vrais, incitant les utilisateurs à cliquer sur des liens de phishing ou à appeler les numéros de téléphone des pirates.

Dans le contexte de l’IA de plus en plus présente sur les plateformes numériques, ceci est un rappel d’avertissement que l’IA elle-même peut devenir une « victime » de fraude et piéger les utilisateurs s’ils ne sont pas vigilants.

Comment se protéger des attaques de l’IA ?

Face à une vague de cyberattaques alimentées par l'IA comme Gemini, les experts en cybersécurité ont formulé quelques recommandations importantes pour aider les utilisateurs à se protéger :

- Ne vous fiez pas aux alertes de sécurité qui apparaissent dans le résumé de Gemini. Google n'utilise pas actuellement Gemini pour envoyer des alertes officielles concernant la sécurité des comptes. Si vous recevez une notification urgente d'une IA, méfiez-vous d'abord.

Méfiez-vous des courriels menaçants ou exigeant une action immédiate. Évitez surtout de cliquer sur des liens suspects ou d'appeler les numéros de téléphone indiqués dans ces courriels, car il s'agit probablement d'escrocs.

- Configurez les applications de messagerie pour détecter et alerter sur le contenu caché, tel que du texte blanc sur fond blanc ou une taille de police de 0, une technique couramment utilisée pour masquer les commandes malveillantes dans les attaques d'IA.

- Configurez des filtres pour identifier les comportements inhabituels, notamment les e-mails contenant plusieurs alertes urgentes, des URL Web inconnues ou des numéros de téléphone étranges.

- Vérifiez toujours les notifications de sécurité via les canaux officiels de Google, tels que la page de sécurité de votre compte Google ou l'application Google Security, plutôt que de vous fier aux informations générées par l'IA.

Les experts préviennent également que la vulnérabilité ne se limite pas à Gmail. Gemini étant intégré à Google Docs, Agenda et à des applications tierces, la menace pourrait continuer à se propager si Google ne corrige pas la faille.

Le dernier conseil est de toujours rester vigilant. Si vous tombez sur un résumé suspect provenant d'une IA, n'hésitez pas à le supprimer immédiatement. À l'heure où l'IA peut être exploitée, les utilisateurs doivent redoubler de vigilance pour éviter d'en être victimes.