Zürcher Nachrichten - Le site Booking tire la sonnette d'alarme sur les arnaques aux voyages liées à l'IA

Marnie Wilking, responsable de la sécurité de l'information chez Booking, estime que l'IA générative a provoqué une explosion des escroqueries via le "phishing" ("hameçonnage" en anglais) et que le secteur de l'hôtellerie et de la restauration, longtemps épargné, est également devenu une cible.

"Depuis un an et demi, toutes industries confondues, on constate une augmentation de 500 à 900% des attaques, notamment de +phishing+, dans le monde entier", indique Mme Wilking à l'AFP en marge de la conférence technologique Collision à Toronto.

Le "phishing" consiste en un vol d'identité ou d'informations confidentielles (codes d'accès, coordonnées bancaires...) par subterfuge, via un lien contenu dans un courrier électronique.

Un système d'authentification est simulé par un utilisateur malveillant, usurpant l'identité d'organismes officiels, comme les banques, les plateformes de livraison ou les autorités douanières.

L'objectif est de convaincre la victime de visiter le site frauduleux — qui ressemble au site authentique — pour qu'elle y rentre des informations confidentielles.

Les sites web de voyage peuvent constituer une mine d'or pour les escrocs qui pratiquent le hameçonnage, car les voyageurs doivent souvent communiquer les détails de leur carte de crédit ou télécharger une pièce d'identité.

Si le hameçonnage existait déjà à travers la messagerie électronique, cette experte relève que "l'augmentation a commencé peu après le lancement de ChatGPT", fin 2022, qui génère des contenus sur simple requête en langage courant.

Les pirates informatiques "utilisent sans aucun doute l'intelligence artificielle pour lancer des attaques qui imitent les courriels bien mieux que tout ce qu'ils ont fait jusqu'à présent", estime Mme Wilking.

Grâce aux outils d'IA générative, les escrocs peuvent désormais travailler dans plusieurs langues et avec une meilleure grammaire qu'auparavant, selon Mme Wilking.

Pour rendre service à un soi-disant client, un hôtelier "ouvrira probablement la pièce jointe", qui est en réalité un logiciel malveillant, qui "profite de la nature serviable" du secteur.

- "Fausses propriétés" -

Pour rester en sécurité, les voyageurs et les hôtes devraient s'inscrire à l'authentification à deux facteurs lorsqu'ils surfent sur internet.

En plus de fournir un nom d'utilisateur et un mot de passe, l'authentification à deux facteurs exige que les utilisateurs vérifient leur identité par le biais d'un facteur supplémentaire, tel qu'un code à usage unique envoyé à leur appareil mobile ou généré par une application d'authentification.

"Je sais que cela peut être un peu pénible à mettre en place", admet cette experte, estimant que cette étape supplémentaire "reste de loin le meilleur moyen de lutter contre le +phishing+ et le vol de données d'identification".

"Ne cliquez sur rien qui vous semble suspect" et "si vous avez le moindre doute, appelez la propriété, les hôtes et le service clientèle", conseille-t-elle.

Pour Marnie Wilking, le site de Booking et d'autres acteurs majeurs du secteur coopèrent étroitement en s'appuyant de plus en plus sur l'IA dans cette lutte, qui contribue par exemple à déjouer la prolifération de fausses propriétés sur les plateformes publiées à un prix bien en-deçà du marché.

"Nous avons mis en place des modèles d'intelligence artificielle pour détecter ces arnaques et soit les empêcher dès le début, soit les supprimer avant qu'il n'y ait de réservations", explique cette femme aux lunettes rondes colorées.

Encore marginaux pour l'instant, les sites de voyage ont vu se multiplier les acteurs étatiques présumés - qui seraient la Russie et la Chine -, accusés de mener des actes de malveillance en ligne ou d'espionner les clients.

"Pourquoi un État-nation s'en prendrait-il à une chaîne hôtelière ? S'il s'agit d'une chaîne d'hôtels qu'il sait fréquentée par un sénateur américain, pourquoi ne s'en prendrait-il pas à elle ?", pointe-t-elle.

A.Weber--NZN