Arnaques dopées à l'IA

The Download : arnaques dopées et IA dans la santé à l'étude

L'intelligence artificielle redessine en profondeur deux fronts critiques de la société numérique : la cybersécurité et la santé. Depuis le lancement de ChatGPT fin 2022, les cybercriminels ont intégré les grands modèles de langage dans leur arsenal, automatisant la rédaction d'e-mails malveillants, le phishing ultraciblé, les deepfakes hyperréalistes et les scans automatisés de vulnérabilités. Résultat : les attaques sont devenues plus rapides, moins coûteuses et accessibles à un nombre croissant d'acteurs. De nombreuses organisations peinent aujourd'hui à absorber le volume de cyberattaques, une situation appelée à s'aggraver à mesure que les outils s'améliorent et se démocratisent. En parallèle, l'IA s'est imposée dans les hôpitaux : elle assiste la prise de notes médicales, analyse les dossiers patients pour identifier ceux nécessitant un suivi, et interprète des radios ou des résultats d'examens. Des études montrent que ces outils produisent des résultats précis, mais la question centrale reste sans réponse : ces technologies améliorent-elles réellement la santé des patients ? Cette double expansion de l'IA soulève des enjeux profonds. Dans le domaine de la cybersécurité, l'industrialisation de la fraude met sous pression non seulement les entreprises, mais aussi les particuliers et les institutions publiques, qui ne disposent pas toujours des ressources pour se défendre à la même vitesse que les attaquants progressent. Dans le secteur médical, l'absence de données solides sur les résultats cliniques réels pose un problème éthique et pratique majeur : des outils sont déployés à large échelle sans que l'on sache encore s'ils font gagner des années de vie ou simplement du temps administratif. C'est une lacune que la communauté médicale et les régulateurs devront combler rapidement. Ces tendances s'inscrivent dans un contexte de reconfigurations majeures du secteur tech. DeepSeek vient de lancer les versions preview de son modèle V4, présenté comme la plateforme open source la plus puissante à ce jour, optimisée pour les puces Huawei et rivalisant selon ses créateurs avec les meilleurs modèles fermés d'OpenAI et DeepMind. OpenAI a de son côté déployé GPT-5.5 à l'ensemble des utilisateurs de ChatGPT malgré des préoccupations en cybersécurité. Meta prévoit de supprimer environ 8 000 postes, soit 10 % de ses effectifs, annonce attendue le 20 mai, pour financer ses investissements en IA. Sur le plan géopolitique, un mémo de la Maison Blanche accuse des entreprises chinoises d'exploitation massive de modèles américains, accusation que Pékin qualifie de "calomnie". L'ère de l'accès gratuit aux IA avancées touche par ailleurs à sa fin, les laboratoires étant sous pression croissante pour rentabiliser leurs investissements colossaux.

L'insécurité numérique à l'ère de l'IA

Lors de la conférence EmTech AI organisée par le MIT Technology Review, Tarique Mustafa, cofondateur et PDG de GCCybersecurity, Inc., a présenté un état des lieux alarmant de la cybersécurité à l'heure de l'intelligence artificielle. Son argument central : l'IA ne se contente pas de transformer les outils de défense, elle redéfinit en profondeur la surface d'attaque, rendant les approches héritées des décennies précédentes structurellement inadaptées. Mustafa, qui dirige également Chorology, Inc., une filiale spécialisée dans la conformité des données, a passé plus de vingt ans à développer des systèmes autonomes de protection contre les fuites de données, aboutissant à une plateforme de quatrième et cinquième génération capable d'opérer sans intervention humaine. L'enjeu dépasse la simple mise à jour technologique. En intégrant l'IA dans les infrastructures d'entreprise, les organisations multiplient les points d'entrée potentiels pour des attaquants qui, eux aussi, exploitent des modèles automatisés. Une défense pensée après coup, superposée à des systèmes existants, ne suffit plus : la sécurité doit être architecturée dès la conception, avec l'IA comme composante centrale plutôt que comme couche additionnelle. Pour les entreprises qui déploient massivement des outils d'IA générative, des agents autonomes ou des pipelines de traitement de données à grande échelle, ce changement de paradigme est immédiat et concret. La classification des données, la prévention des fuites (DLP) et la gestion de la posture de sécurité des données (DSPM) deviennent des disciplines critiques dans un environnement où les volumes traités et la vitesse d'exécution dépassent les capacités humaines de supervision. Mustafa incarne une génération d'experts qui ont traversé plusieurs cycles technologiques dans la sécurité. Passé par Symantec, MCI WorldCom et EDS, il a fondé NexTier Networks en Californie avant de créer GCCybersecurity. Titulaire de plusieurs brevets américains (USPTO) en représentation de la connaissance et en planification par IA, il a contribué à formaliser des approches que l'industrie commence seulement à adopter à grande échelle. Sa présence à EmTech AI reflète une prise de conscience croissante dans les milieux technologiques : la course entre attaquants et défenseurs est désormais une course entre systèmes automatisés, et les organisations qui n'intègrent pas cette réalité dans leur stratégie de sécurité risquent de prendre un retard difficile à combler.

Perplexity : le mode incognito est une arnaque, vos recherches dévoilées

Une action collective fédérale de 135 pages a été déposée aux États-Unis contre Perplexity, le moteur de recherche dopé à l'intelligence artificielle valorisé à plusieurs milliards de dollars. La plainte, introduite par un utilisateur anonyme sous le nom de John Doe, accuse la startup d'avoir transmis en temps réel des conversations privées à Google et Meta, y compris lorsque le mode incognito était activé. Ces transferts auraient impliqué des outils publicitaires bien identifiés : Meta Pixel, Google Ads et Google DoubleClick. L'affaire pourrait concerner des millions d'échanges depuis 2022, couvrant des sujets aussi sensibles que la santé, la fiscalité, la sexualité ou l'identité. Ce qui rend le scandale particulièrement grave, c'est la nature même de ce qui est transmis. Contrairement à une requête Google classique, les conversations avec un assistant IA sont souvent longues, personnelles et détaillées. Dans le cas de John Doe, il s'agissait de données financières liées à la gestion d'impôts et d'investissements. Mais Perplexity encourage activement ce niveau de détail en relançant ses utilisateurs avec des invitations du type "donnez-moi plus de détails sur votre plan de traitement". Si ces messages sont acheminés vers des régies publicitaires avec des identifiants liés à un compte Google ou Facebook, les conséquences sont immédiates et concrètes : un utilisateur mentionnant une maladie pourrait se retrouver ciblé par des publicités pharmaceutiques sans jamais avoir consenti à partager cette information. La plainte décrit ces mécanismes comme une "technologie d'écoute téléphonique basée sur un navigateur", soulignant que même les utilisateurs équipés de bloqueurs de publicité ou ayant désactivé les cookies ne seraient pas protégés, car Meta recommande précisément d'associer son pixel à une API de conversions pour contourner ces défenses. Perplexity avait construit une partie de sa réputation sur la promesse d'un mode incognito inspiré des navigateurs web : pas de sauvegarde, expiration des échanges au bout de vingt-quatre heures, absence dans l'historique. Cette promesse, si elle s'avère trompeuse devant un tribunal fédéral, placerait la startup dans une position juridique et réputationnelle extrêmement délicate. L'affaire s'inscrit dans un contexte plus large de méfiance croissante envers les assistants IA qui collectent des données sensibles sous couvert de confidentialité. Les régulateurs américains et européens scrutent de près ces pratiques depuis plusieurs années, et une condamnation pourrait établir un précédent majeur pour l'ensemble du secteur. Perplexity n'a pas encore répondu publiquement aux accusations au moment du dépôt de la plainte.

💬 Le mode incognito d'un assistant IA qui envoie tes questions sur ta santé ou tes impôts à Meta Pixel, c'est pas un bug, c'est une trahison délibérée. Ce qui est grave ici, c'est pas juste la fuite de données, c'est que Perplexity t'encourage activement à aller plus loin dans le détail, à livrer plus, alors que derrière ça tourne pour les régies pub. Reste à voir ce que donne le procès, mais la réputation, elle, elle ne reviendra pas.

« Un SMS avec une photo du livreur » : cette nouvelle arnaque à l’IA fait un carnage en France

Une vague d'arnaques exploitant l'intelligence artificielle cible actuellement des milliers de consommateurs français. Le principe : les victimes reçoivent un SMS semblant provenir d'un service de livraison, accompagné d'une photo générée par IA représentant un prétendu livreur, pour crédibiliser le message. Le lien joint redirige vers un faux site imitant Chronopost, Colissimo ou DHL, où les données bancaires sont saisies pour régler de prétendus frais de livraison. L'efficacité de cette escroquerie tient précisément à l'usage de l'IA : les visuels réalistes de faux livreurs contournent la méfiance habituelle des internautes face aux messages suspects. Les victimes, convaincues par la cohérence visuelle du message, transmettent leurs coordonnées de carte bleue avant de constater des débits frauduleux parfois de plusieurs centaines d'euros. Les plaintes se multiplient auprès de Cybermalveillance.gouv.fr, le dispositif national d'assistance aux victimes de cybermalveillance. Cette arnaque s'inscrit dans une tendance plus large de démocratisation des outils d'IA générative à des fins criminelles, qui abaisse drastiquement le coût et le niveau de compétences nécessaires pour monter des campagnes de phishing convaincantes. Face à la montée des signalements, les autorités recommandent de ne jamais cliquer sur un lien reçu par SMS et de vérifier directement auprès du transporteur via son site officiel.