Vous demandez à un chatbot l’adresse du site de votre banque ou le lien de téléchargement d’un logiciel, et il vous répond avec un aplomb total. Sauf que voilà : il arrive régulièrement que l’adresse en question n’existe pas. Le modèle l’a inventée, parce qu’elle ressemblait à ce qu’une vraie URL de la marque aurait pu être. Jusqu’ici, ça se terminait par une page d’erreur. Plus maintenant.
Les chercheurs de l’Unit 42, l’équipe de sécurité de Palo Alto Networks, viennent de documenter une technique baptisée phantom squatting. Le principe est d’une logique imparable : des escrocs interrogent méthodiquement les IA pour repérer les adresses qu’elles hallucinent le plus souvent quand on les questionne sur une marque, puis achètent ces noms de domaine encore libres. Quand un internaute pose ensuite la même question, le chatbot ressort la même adresse inventée, qui mène cette fois vers un vrai site. Piégé, celui-là.
L’ampleur du phénomène a de quoi refroidir. En bombardant les modèles de 685 000 requêtes autour de 913 grandes marques, les chercheurs ont récolté 2,1 millions d’URL. Plus du tiers pointaient vers des domaines inexistants, et environ 250 000 de ces adresses fantômes sont toujours libres, prêtes à être récupérées par n’importe qui pour quelques euros. Sur les liens déjà exploités par des attaquants, deux tiers distribuent des logiciels malveillants et environ 15 % hébergent du phishing.
Contre le phishing, même le plus sournois, une clé de sécurité physique reste la protection la plus fiable pour vos comptes en ligne.
Yubico YubiKey 5C NFC – clé de sécurité 2FA → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Le plus retors dans l’histoire, c’est que ces domaines tout neufs passent sous les radars. Les filtres de réputation se méfient des adresses déjà signalées, pas d’un nom enregistré la veille et jamais vu nulle part. Pas besoin de mail piégé ni de publicité douteuse : c’est l’IA elle-même qui envoie la victime dans la gueule du loup, avec toute la confiance qu’on lui accorde. Unit 42 cite le cas d’un faux service postal repéré dans les réponses d’un modèle, dont le domaine a été enregistré 23 jours plus tard par un escroc pour y installer un kit de phishing complet. Un autre servait une application Android vérolée 51 jours après sa première apparition.
Du coup, la parade est simple, mais encore faut-il y penser : ne jamais cliquer les yeux fermés sur un lien fourni par un chatbot. Passez par votre moteur de recherche habituel, ou tapez l’adresse officielle vous-même. Les IA écrivent avec assurance, y compris quand elles inventent. Les escrocs, eux, l’ont parfaitement compris.
Crédit photo : Palo Alto Networks / Unit 42
