Les cybercriminels ne dorment jamais. Et aujourd’hui, ils s’arment d’une alliée redoutable : l’intelligence artificielle. Selon une étude conjointe menée par les universités de Columbia et de Chicago, en collaboration avec Barracuda Networks, plus de la moitié des courriels de spam envoyés dans le monde seraient désormais générés par des IA. Un bouleversement discret, mais majeur, dans l’univers de la cybersécurité.
En s’appuyant sur plus de trois ans de données, allant de février 2022 à avril 2025, les chercheurs ont constaté que 51 % des spams actuels proviennent de systèmes d’intelligence artificielle, contre seulement 14 % pour les attaques ciblées de type Business Email Compromise (BEC), bien plus sophistiquées. Cette évolution marque un tournant stratégique : les cyberattaquants misent désormais sur le volume, la qualité linguistique et l’automatisation.
L’empreinte linguistique de l’IA
Depuis la mise en ligne de ChatGPT en novembre 2022, la tendance s’est nettement accélérée. Les messages générés par IA sont plus formels, mieux rédigés, avec une syntaxe fluide et peu d’erreurs. Cette “propreté” du langage joue un rôle crucial : elle inspire davantage confiance aux destinataires, réduisant leur vigilance, et augmente ainsi le taux de clics sur des liens malveillants.
Les IA ne se contentent pas de rédiger correctement : elles testent, itèrent, et adaptent leur vocabulaire. En modifiant quelques mots clés, elles cherchent à contourner les filtres anti-spam traditionnels. Cette approche “test and learn” à grande échelle n’était auparavant possible qu’avec des équipes humaines coûteuses. Aujourd’hui, une IA peut générer des milliers de variantes en quelques minutes.
Pourquoi le BEC résiste encore à l’automatisation
Les attaques BEC — où un pirate se fait passer pour un supérieur hiérarchique ou un partenaire commercial afin d’extorquer des fonds — restent, en majorité, le fait d’humains. Leur succès repose sur une personnalisation fine, une connaissance du contexte, voire une psychologie de la cible. Pour l’instant, l’IA peine à reproduire cette finesse.
Mais la tendance est là : le volume d’e-mails BEC générés par IA augmente régulièrement. Les chercheurs s’attendent à ce que ces outils deviennent suffisamment performants pour créer des scénarios crédibles, personnalisés, voire interactifs, d’ici quelques années.
Comment les chercheurs ont percé le mystère
Déterminer si un spam a été généré par une IA est un casse-tête. « Nous ne pouvons observer que l’email final, pas sa méthode de création », explique Asaf Cidon, professeur à l’université de Columbia. Pour contourner ce problème, les chercheurs ont établi une base de référence : les courriels envoyés avant novembre 2022 étaient, par définition, humains. Cette période a permis d’entraîner des modèles capables de repérer les signatures stylistiques de l’IA.
Vers une nouvelle ère du phishing ?
La démocratisation des outils d’IA change la donne pour la cybersécurité. Ce n’est plus uniquement la sophistication des attaques qui inquiète, mais leur accessibilité et leur automatisation à grande échelle. En quelques clics, n’importe quel acteur malveillant peut désormais déployer une campagne massive, bien rédigée et difficile à détecter.
Pour les professionnels de la cybersécurité, cette évolution impose un double défi : renforcer les filtres anti-spam en y intégrant la détection de texte généré par IA, et former les utilisateurs à reconnaître les signaux faibles d’une attaque invisible mais omniprésente.
Le spam 2.0 est là. Silencieux, élégant, efficace — et généré par une machine.
Pour en apprendre plus, vous pouvez consulter l’intégralité du rapport sur le blog de Barracuda..
Auteur : Inforisque.
Continuer avec Linkedin