Ils s’appellent ChatGPT, Perplexity, Gemini… Et ils sont déjà en train de changer notre manière de rechercher de l’information. Mais attention : si ces intelligences artificielles génératives semblent fiables, elles peuvent parfois vous mener droit dans la gueule du loup. Une étude de Netcraft révèle que près de 34 % des liens fournis par ces IA pointent vers des sites erronés, inactifs, voire frauduleux. En d’autres termes : un nouvel eldorado pour les cybercriminels.
Des IA qui renvoient vers de faux sites.
Selon une enquête récente menée par les chercheurs de Netcraft, sur 97 domaines proposés par des outils d’IA générative lors de recherches d’utilisateurs, seuls 64 étaient corrects. Le reste ? 28 domaines inactifs et 5 appartenant à d’autres entreprises, sans lien avec la recherche initiale.
Le problème ne serait qu’un simple bug s’il ne présentait pas des risques majeurs. Car derrière ces “erreurs” se cachent déjà des tentatives de phishing. Netcraft a notamment relevé un exemple frappant avec Perplexity. Lors d’une requête demandant de l’aide pour se connecter à la banque américaine Wells Fargo, l’outil a recommandé… un site frauduleux, capable de dérober des identifiants bancaires.
Pourquoi ces IA se font piéger… et nous avec.
Le fonctionnement de ces IA explique en partie leur vulnérabilité. Conçues pour générer du texte en se basant sur des modèles statistiques, elles ne font pas de vérification active de la fiabilité ou de l’autorité des domaines qu’elles citent. Contrairement à un moteur de recherche classique comme Google, qui croise autorité, réputation et historique, les IA génératives fonctionnent en « complétion ».
La croissance rapide de l’usage de l’IA dans les recherches web (déjà 28 % des internautes français s’en servent selon une récente étude) crée un effet boule de neige : si les résultats IA deviennent des références, les failles peuvent rapidement être exploitées à grande échelle.
Un levier d’attaque rêvé pour les cybercriminels.
Ce phénomène ouvre la voie à une nouvelle tactique de phishing. Plutôt que d’attendre que l’utilisateur clique sur un faux lien envoyé par e-mail, les pirates peuvent désormais anticiper les requêtes fréquentes (ex. : “se connecter à PayPal” ou “contacter le support Apple”), créer un site aux allures officielles mais inexistant, et attendre qu’une IA la recommande par erreur.
Netcraft alerte : les IA génératives ne vérifient pas si un domaine existe réellement ou non. Résultat, les pirates peuvent enregistrer ces “noms de domaine suggérés”, qui n’existent pas encore, et en faire des pièges. Un mécanisme proche du typosquattage, mais dopé à l’IA.
Que faire ? Renforcer les garde-fous techniques et éthiques.
Cette faille pose une double question : celle de la cybersécurité à l’ère de l’IA, mais aussi celle de la responsabilité des éditeurs d’IA générative.
Des pistes concrètes émergent :
- Côté IA, intégrer des API de vérification de domaines, comme WHOIS, Google Safe Browsing ou DNS filtering.
- Côté utilisateur, adopter des outils de protection proactive (VPN avec filtrage DNS, navigateurs avec anti-phishing intégré).
- Côté régulation, la nécessité d’un cadre sur les contenus générés par IA, notamment en cas de lien vers des services bancaires, administratifs ou médicaux.
Une IA bien utilisée, c’est aussi et surtout une IA bien encadrée.
Les IA génératives ne sont pas dangereuses en elles-mêmes, mais leur usage non critique peut l’être. L’erreur humaine est aujourd’hui doublée d’une “erreur machinique”, exploitée par des pirates qui redoublent d’ingéniosité.
Faut-il pour autant se méfier de chaque réponse IA ? Non. Mais comme pour n’importe quelle source d’information, la vérification reste la meilleure des défenses.
