fizkes - stock.adobe.com

Actualites

Attaque réelle par clonage vocal utilisant l'IA : étude de cas d'un exercice

Grâce à l'IA, les campagnes d'ingénierie sociale sont plus efficaces que jamais. Dans cette étude de cas de "red team", découvrez comment le clonage vocal a permis de tromper un utilisateur professionnel expérimenté.

Rob Shapland
par
Publié le: 12 janv. 2026

En tant que hacker éthique, je teste les cyberdéfenses des organisations et, tout comme les acteurs malveillants, je sais que l’ingénierie sociale reste l’une des méthodes les plus efficaces pour obtenir un accès non autorisé à des environnements informatiques privés.

Le mode opératoire Scattered Spider a fait ses preuves à plusieurs reprises dans des attaques d’ingénierie sociale visant les services d’assistance informatique de grandes entreprises, notamment les géants des casinos Caesars Entertainment et MGM Resorts, ainsi que le détaillant britannique Marks & Spencer. Dans ce type d’attaques, un acteur malveillant se fait passer pour un employé légitime et convainc le service d’assistance de réinitialiser le mot de passe de cet utilisateur, souvent en utilisant un ton autoritaire ou en créant un sentiment d’urgence, pour manipuler son interlocuteur afin qu’il lui accorde l’accès au compte. Ces tactiques classiques d’ingénierie sociale permettent souvent de contourner complètement les défenses techniques en exploitant les faiblesses comportementales humaines.

J’utilise depuis des années l’ingénierie sociale par téléphone dans ma propre stratégie de red teaming, et les récentes améliorations apportées aux technologies de deepfake et de clonage vocal ont rendu ces attaques de phishing vocal (vishing) encore plus efficaces. Dans cet article, je vais vous présenter un exemple récent tiré de la vie réelle qui montre à quel point il est désormais facile pour les acteurs malveillants d’utiliser les deepfakes et le clonage vocal basés sur l’IA, pour tromper les utilisateurs finaux. Les RSSI doivent tester la capacité de leur organisation à résister à de telles attaques, mais aussi sensibiliser leurs employés à ces techniques et leur apprendre à les contrer.

Comment une attaque par clonage vocal IA a trompé un employé chevronné

Dans le cadre d’un exercice de red teaming, une grande entreprise m’a récemment demandé d’essayer de pirater le compte de messagerie électronique de l’un de ses cadres supérieurs. En général, trois éléments sont nécessaires pour accéder à un compte de messagerie électronique :

  1. L’adresse e-mail.
  2. Le mot de passe.
  3. Une méthode pour contourner l’authentification à facteurs multiples (MFA).

Dans ce cas, l’adresse e-mail de la cible était elle-même accessible au public. Ses informations avaient également été exposées lors de plusieurs violations de données publiques, le même mot de passe ayant apparemment été utilisé pour plusieurs comptes distincts. J’ai supposé qu’il était probable qu’il utilise également le même mot de passe pour se connecter à son compte professionnel.

Contourner l’authentification à facteurs multiples (MFA) de l’entreprise, Microsoft Authenticator, a été la partie la plus délicate de l’exercice. J’ai décidé que la meilleure méthode serait d’appeler la cible et de me faire passer pour un membre de l’équipe informatique de l’entreprise, en utilisant le clonage vocal.

J’ai d’abord identifié les noms des membres de l’équipe informatique de l’organisation sur LinkedIn, puis j’ai effectué des recherches supplémentaires sur Google. J’ai découvert que l’un des responsables informatiques avait fait une présentation lors d’une conférence, dont la vidéo de 60 minutes était accessible au public sur YouTube. Il est possible de cloner la voix d’une personne à partir d’un enregistrement audio de seulement trois secondes. J’étais donc convaincu qu’un enregistrement d’une heure permettrait d’obtenir une réplique très précise et convaincante.

J’ai extrait l’audio de la vidéo YouTube et utilisé un outil appelé ElevenLabs pour créer un clone vocal. J’ai ensuite tenté de me connecter au compte de messagerie électronique de la cible à l’aide du mot de passe que j’avais trouvé dans des violations de données tierces antérieures, et comme prévu, cela a fonctionné.

La connexion réussie a déclenché Microsoft Authenticator, qui a envoyé à la cible une notification push MFA sur son téléphone. Je l’ai appelé, en utilisant le logiciel de clonage vocal IA pour me faire passer pour un membre de l’équipe informatique dans notre conversation en temps réel. J’ai expliqué à la cible que l’équipe informatique effectuait une maintenance interne sur son compte, ce qui avait déclenché la demande de MFA, et je lui ai demandé de saisir le numéro à deux chiffres affiché sur mon écran dans son application Microsoft Authenticator. Complètement convaincu, il a saisi le numéro, me donnant ainsi accès à sa messagerie électronique et à SharePoint.

Au moment de l’exercice, la cible travaillait dans l’entreprise depuis 15 ans, son compte contenait donc une mine d’informations. Si j’avais été un pirate informatique malveillant, j’aurais pu commencer à envoyer des e-mails depuis son adresse électronique réelle, incitant potentiellement d’autres membres du personnel ou clients à ouvrir des documents malveillants ou à autoriser des transactions financières.

Leçons apprises

Cet exemple montre pourquoi je ne suis pas surpris de voir des groupes criminels se tourner de plus en plus vers l’ingénierie sociale basée sur le vishing comme méthode fiable pour obtenir un accès initial aux environnements cibles. Une fois qu’un acteur malveillant a accédé à un compte professionnel Microsoft, en particulier un compte disposant de privilèges élevés, il est relativement simple de compromettre le réseau et d’exécuter un ransomware sur tous les terminaux et serveurs importants.

Pour se protéger contre ce type d’attaques, les RSSI doivent veiller à ce que les équipes d’assistance informatique suivent des procédures de vérification claires et cohérentes dans leurs conversations avec les utilisateurs finaux. Plus important encore, une formation à la sensibilisation à la sécurité à l’échelle de l’organisation devrait informer tous les employés sur ce type d’attaques, les astuces psychologiques utilisées et les meilleures pratiques pour vérifier l’identité d’une personne.

Rob Shapland est un hacker éthique spécialisé dans la sécurité du cloud, l’ingénierie sociale et la formation en cybersécurité auprès d’entreprises du monde entier.

Pour approfondir sur Menaces, Ransomwares, DDoS