Vers une recrudescence des piratages avec clonage de la voix
Une cyberattaque visant Susie Wiles, cheffe de cabinet de Trump, fait actuellement l'objet d'une enquête des autorités américaines. Des pirates sont parvenus à accéder à son téléphone personnel pour obtenir les coordonnées de certains hauts responsables puis les tromper en se faisant passer pour elle, en clonant sa voix grâce à l'IA. Cette méthode pourrait également être facilement utilisée pour piéger les entreprises opérant dans des secteurs sensibles.
Les autorités fédérales américaines enquêtent sur une cyberattaque ayant visé Susie Wiles, la cheffe de cabinet de Donald Trump, d'après le Wall Street Journal. Des individus non identifiés ont accédé à son téléphone portable personnel pour lancer une opération sophistiquée d'usurpation d'identité afin de contacter des hauts responsables en se faisant passer pour celle qu'on surnomme "Ice Lady".
Accéder à des informations sensibles
Dans le détail, la compromission de son téléphone aurait permis aux attaquants d'obtenir les coordonnées de sénateurs, gouverneurs et dirigeants d'entreprise de premier plan. Dans les jours suivants, ils ont reçu des appels téléphoniques et des SMS se faisant passer pour la cheffe de cabinet. Les appels utilisaient une imitation vocale réaliste, générée par intelligence artificielle. Les messages étaient envoyés depuis un numéro inconnu mais rédigés dans un ton crédible. L'un des messages demandait, par exemple, à un élu d'établir une liste des personnes éligibles à la grâce présidentielle.
A ce stade de l'enquête, les autorités fédérales n'ont pas confirmé la méthode exacte d'intrusion. Deux scénarios principaux sont envisagés : la compromission d'un compte cloud personnel associé à l'appareil ou l'exploitation d'une vulnérabilité via un logiciel espion. Interrogée sur la nature de l'attaque, la Maison-Blanche a simplement déclaré qu'elle prenait "très au sérieux la cybersécurité de l'ensemble de ses équipes".
Susie Wiles déjà visée par des hackers
Ce n'est pas la première fois que Susie Wiles est ciblée par une cyberattaque. En 2024, le Washington Post avait rapporté qu'elle avait été visée par un groupe affilié à l'Iran, qui avait réussi à accéder à sa boîte mail personnelle. Les hackers étaient parvenus à extraire un dossier confidentiel sur JD Vance, à l'époque colistier de Donald Trump pendant la campagne présidentielle.
Plus récemment, en mars 2025, une autre faille de sécurité a touché l'équipe exécutive : Michael Waltz, conseiller à la sécurité nationale, a accidentellement intégré un journaliste à un groupe de discussion sur Signal réservé à des échanges sensibles concernant des opérations militaires. Ce groupe utilisait une version dérivée de la messagerie, baptisé TeleMessage, conçue pour répondre aux exigences d'archivage gouvernemental.
Ces incidents majeurs mettent en évidence des vulnérabilités importantes dans la sécurité informatique au sein les plus hautes sphères de l'appareil gouvernemental américain. La particularité est que les hackers n'ont pas eu besoin de compromettre les appareils de leurs victimes pour les tromper. Il leur a suffi d'accéder au carnet de contact de Susie Wiles. Ce type d'attaque illustre un scénario redoutablement efficace : la compromission d'un seul individu permet d'atteindre toute une chaîne de décideurs.
Utiliser l'IA pour renforcer la crédibilité de l'usurpation
Par ailleurs, c'est en recourant à l'IA que les attaquants ont pu renforcer la crédibilité de l'usurpation. Le recours à cette technologie marque une évolution des techniques de social engineering : elle permet de produire, à grande échelle, des contenus synthétiques personnalisés capables de tromper les interlocuteurs.
Cette méthode d'attaque pourrait être facilement répliquée contre les entreprises, avec des conséquences potentiellement majeures. En usurpant la voix d'un dirigeant, les attaquants pourraient manipuler les employés pour obtenir des accès sensibles, compromettre des données stratégiques ou encore valider des virements frauduleux. Les sociétés opérant dans des secteurs sensibles (défense, finances, santé...) deviennent ainsi des cibles de choix.
Parmi les moyens de protection figurent la formation à la détection des signaux IA (tonalité trop fluide, phrases trop formelles...) et l'authentification hors bande obligatoire (toute demande sensible doit être validée par au moins deux canaux de communication indépendants). Les faux points d’entrée (honeypots humains), c'est-à-dire la création de profils ou numéros de contact leurres pour observer les tentatives de compromission en amont, peuvent également être pertinents.
Sélectionné pour vous
SUR LE MÊME SUJET
Vers une recrudescence des piratages avec clonage de la voix
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
