Une campagne de phishing d’une sophistication inédite a compromis les comptes cloud Microsoft de centaines d’entreprises à travers le monde au cours des dernières semaines. Ce qui distingue cette attaque des précédentes : l’utilisation massive de l’intelligence artificielle pour personnaliser chaque email à un degré jamais atteint, rendant la détection par les outils traditionnels pratiquement impossible.
Une personnalisation chirurgicale
Les emails de phishing générés par cette campagne ne ressemblent pas aux tentatives grossières habituelles. Chaque message est adapté individuellement au destinataire : son nom, son poste, ses projets en cours, le nom de ses collègues et même le ton habituel de la communication interne de son entreprise. Les attaquants ont utilisé des modèles de langage pour analyser des données publiquement disponibles — profils LinkedIn, publications d’entreprise, communiqués de presse — et construire des messages sur mesure.
Le résultat est un taux de clic estimé à 14 %, soit environ sept fois supérieur à la moyenne des campagnes de phishing traditionnelles. Les victimes ont été dirigées vers des pages de connexion Microsoft 365 parfaitement imitées, où leurs identifiants ont été capturés en temps réel.
L’IA comme multiplicateur de menace
Ce qui rend cette campagne particulièrement préoccupante, c’est son passage à l’échelle. Avant l’IA générative, produire un email de spear phishing convaincant exigeait un travail manuel de recherche et de rédaction pour chaque cible. Avec les LLM, les attaquants peuvent automatiser la personnalisation à l’échelle industrielle — des milliers d’emails uniques générés en quelques heures.
Les experts en cybersécurité notent que les filtres anti-phishing actuels sont largement impuissants face à cette nouvelle génération d’attaques. Ces filtres reposent sur la détection de patterns répétitifs — mêmes formulations, mêmes liens, mêmes structures. Quand chaque email est unique, rédigé dans un français ou un anglais parfait et adapté au contexte du destinataire, les signaux traditionnels disparaissent.
Les leçons à tirer
Cette attaque illustre un changement de paradigme en cybersécurité. La formation des employés à détecter les emails suspects — fautes d’orthographe, formulations maladroites, urgence artificielle — devient insuffisante quand l’IA élimine ces indices. Les entreprises vont devoir investir dans des systèmes de détection basés eux-mêmes sur l’IA, capables d’analyser le comportement plutôt que le contenu.
L’authentification multifacteur (MFA) reste la meilleure ligne de défense, mais elle n’est pas infaillible — certaines variantes de cette campagne utilisaient des proxys en temps réel capables d’intercepter les codes MFA. La course entre attaquants et défenseurs vient de franchir un nouveau palier.
