🧠 AI vs. AI : quand l’IA camoufle du phishing dans un pauvre SVG

Phishing classique ? Imagine : tu reçois un mail pro avec une piĂšce jointe nommĂ©e “23mb – PDF- 6 pages.svg”. Tu penses “bizarre mais bon, c’est un PDF”, tu l’ouvres
 et ton aperçu Outlook exĂ©cute du JavaScript planquĂ© dans une “image”.

Bienvenue en 2025, oĂč les attaquants utilisent l’IA pour Ă©crire du code obfusqué  qui ressemble plus Ă  un PowerPoint de consultant qu’à un script malveillant.

📌 RĂ©sumĂ© exĂ©cutif (pour dirigeants pressĂ©s)

  • Le problĂšme : une campagne de phishing rĂ©cente a cachĂ© du JavaScript malveillant dans des fichiers SVGprĂ©sentĂ©s comme des PDF.
  • La nouveauté : le code est “obfusquĂ©â€ avec du jargon corporate gĂ©nĂ©rĂ© par IA → dur Ă  lire, mais facile Ă  cramer par des IA dĂ©fensives.
  • Le risque : vol d’identifiants, contournement de la vigilance utilisateurs (mĂȘme sans clic), compromission interne via comptes mail.
  • La solution :
    • Bloquer ou transformer automatiquement les SVG.
    • Activer des protections dynamiques (Safe Links, purge auto).
    • Imposer un MFA rĂ©sistant au phishing (FIDO2).
    • Sensibiliser les Ă©quipes : “si ça ressemble Ă  un PDF mais que ça finit par .svg → danger”.

👉 Message clĂ© : on ne gagne pas cette bataille avec des signatures statiques, mais avec corrĂ©lation multi-signal et MFA.

📐 Petit rappel technique

Un SVG, c’est du XML avec :

  • des balises <script> pour exĂ©cuter du JavaScript,
  • des attributs onload ou href,
  • des redirections.

👉 Traduction : une image qui peut se transformer en cheval de Troie.

🎭 L’astuce des attaquants

  • Code rempli de mots business (revenue, KPI, dashboard).
  • Variables verbeuses, commentaires gĂ©nĂ©riques, architecture trop “propre”.
  • Un mail auto-adressĂ© (cibles en CCI) depuis un compte compromis.

âžĄïž Le tout dĂ©joue l’Ɠil non averti, mais trahit une gĂ©nĂ©ration IA.

đŸ€– L’IA, arme Ă  double tranchant

  1. Avantage attaquant : production rapide de code et obfuscation crédible.
  2. Avantage défenseur : IA défensive détecte les patterns artificiels (sur-verbeux, trop modulaires).
  3. Bilan : les SOC modernes gagnent parce qu’ils corrùlent signaux (infra, comportement, message).

đŸ’„ Les vraies douleurs pour les DSI

  1. Aperçu mail = surface d’attaque. Pas besoin de clic.
  2. SVG = zone grise. Beaucoup d’outils le traitent comme image inoffensive.
  3. Confiance interne exploitĂ©e. Compte compromis + CCI cachĂ©s → crĂ©dibilitĂ© maximale.

đŸ›Ąïž Les contre-mesures

  • Filtrage SVG : bloquer ou convertir en PNG.
  • Safe Links + Zero-Hour Auto Purge.
  • MFA phishing-resistant (FIDO2, YubiKey, etc.).
  • CorrĂ©lation SIEM/EDR : redirections, domaines jetables, CCI massifs.
  • Sensibilisation ciblĂ©e : dĂ©tection des noms suspects (pdf.svg), vigilance sur CAPTCHA inattendus.

🧰 EncadrĂ© technique SOC – Checklist rapide

👉 À vĂ©rifier dans un SVG suspect :

  • PrĂ©sence de balises <script> ou d’évĂ©nements (onload, onclick).
  • Attributs xlink:href pointant vers des URLs externes.
  • Variables textuelles abusivement “business” (finance, KPI, compliance).
  • Redirections JavaScript (window.location, eval, atob).
  • Noms de variables trop longs / verbeux ou avec suffixes hexadĂ©cimaux.
  • Domaines ou sous-domaines fraĂźchement crĂ©Ă©s dans les URLs embarquĂ©es.

👉 Bon rĂ©flexe : sandboxer tout SVG inconnu comme un script, pas comme une image.

🔗 Pour aller plus loin

🧰 Techniques utilisĂ©es et tendances relevĂ©es

Au-delĂ  de cette campagne prĂ©cise, plusieurs analyses montrent que ce cas s’inscrit dans des tendances plus larges du phishing moderne :

Technique / tendanceExplication / exemples
Abus de fichiers “image” (SVG)Les fichiers SVG, bien que perçus comme des images, sont du XML & permettent d’inclure des scripts. Cela en fait un vecteur intĂ©ressant pour les attaquants.
Obfuscation par mĂ©tadonnĂ©es ou “voile” sĂ©mantiquePlutĂŽt que de chiffrer ou masquer le code par des techniques cryptographiques, ici on dissimule la logique sous des mots “neutres” et invisibles, pour embrouiller un analyste.
Automatisation / gĂ©nĂ©ration par IALe code et l’obfuscation semblent “sur-gĂ©nĂ©rĂ©s” — trop verbeux, trop modulaire — ce qui laisse penser Ă  l’usage d’un modĂšle de langage.
Redirections multi-Ă©tapes & faux CAPTCHALe SVG, une fois ouvert, redirigeait l’utilisateur vers une page demandant un CAPTCHA, puis probablement vers une page de saisie de crĂ©dentials. Microsoft
Rotation d’infrastructures & domaines Ă©phĂ©mĂšresLes infrastructures (domaines hĂ©bergeant les pages de phishing) sont souvent temporaires, changeantes, pour rĂ©duire la traçabilitĂ©.
Usage de signaux non statiques pour la dĂ©tectionLes protections ne se contentent pas d’examiner le fichier (statique), mais aussi le comportement (ex. redirection, requĂȘtes), les mĂ©tadonnĂ©es du message, l’infrastructure (domaine, hĂ©bergement), etc.

đŸ›Ąïž Quelles faiblesses et quelles mitigations ?

MĂȘme si cette attaque est avancĂ©e, elle n’est pas “inarrĂȘtable” — les chercheurs identifient des faiblesses et proposent des dĂ©fenses :

Faiblesses / dĂ©fis pour l’attaquant :

  • L’usage d’IA gĂ©nĂšre parfois des “artefacts” reconnaissables (noms verbeux, modularitĂ© excessive) qui peuvent devenir des marqueurs de dĂ©tection.
  • Le fait d’inclure de l’obfuscation, des redirections, etc., rend l’attaque plus complexe et donc plus fragile.
  • L’infrastructure doit ĂȘtre manipulĂ©e soigneusement (rotation, crĂ©dibilitĂ© du domaine, etc.).

Défenses et mitigations recommandées :

  1. Filtrage des piĂšces jointes SVG / inspection approfondie
    Traitez chaque SVG reçu comme du code potentiel — dĂ©sactivez ou neutralisez les scripts dans les SVG, ou rejetez les SVGs avec contenu scriptĂ©.
  2. Protection “safe links / rewriting de liens au clic”
    Cela permet d’évaluer les URLs au moment oĂč l’utilisateur clique, plutĂŽt qu’au moment de la rĂ©ception. Microsoft le recommande dans ce cas prĂ©cis. Microsoft
  3. Purge d’auto-amĂ©lioration (Zero-Hour Auto Purge)
    Si un mail déjà délivré est identifié comme malveillant aprÚs coup, pouvoir le purger rétroactivement est essentiel.
  4. Authentification résistante au phishing
    Par exemple, l’authentification via clĂ©s de sĂ©curitĂ© physiques (FIDO2), les mĂ©thodes multifacteurs renforcĂ©es, etc. rĂ©duisent la valeur d’une tentative de vol de mot de passe.
  5. Surveillance et détection comportementale
    Examiner les modĂšles de redirection, les comportements de script, les requĂȘtes rĂ©seau suspectes ; corrĂ©ler les indices d’infrastructure (domaines, hĂ©bergeurs) avec le contenu.
  6. Formation des utilisateurs et sensibilisation
    MĂȘme les protections techniques ont des limites : informer les utilisateurs sur les signaux d’alerte (piĂšces jointes inhabituelles, extension double, incitation Ă  l’action rapide, CAPTCHA inattendu, etc.) reste critique.
  7. Politiques email robustes (SPF, DKIM, DMARC)
    Une bonne configuration de ces protocoles rend plus difficile pour un attaquant de falsifier l’adresse de l’expĂ©diteur.

😏 Conclusion

Les attaquants se sont dit : â€œEt si on faisait passer notre code malveillant pour un business plan ?”
RĂ©sultat : l’IA leur a fourni une obfuscation crĂ©dible
 mais aussi une signature caricaturale.

👉 Ce n’est pas IA contre IA : c’est attaque opportuniste contre dĂ©fense corrĂ©lĂ©e.
Et si ton SI laisse encore passer des SVG exécutables en 2025
 tu joues avec des allumettes dans une station-service.

🧠 AI vs. AI : quand l’IA camoufle du phishing dans un pauvre SVG
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut