Pendant que toute l’industrie du cinéma retient son souffle, Netflix a décidé de crever l’abcès : l’intelligence artificielle est non seulement utilisée, mais elle est déjà partout dans ses productions. Une franchise qui a le mérite de la clarté, mais qui risque de faire tousser dans les studios voisins.

Le pavé a été jeté dans la mare sans ménagement, à l’occasion de la publication des derniers résultats trimestriels. Alors que Hollywood marche sur des œufs dès qu’il s’agit d’intelligence artificielle, Netflix, lui, a choisi de jouer cartes sur table. Non, l’IA générative n’est plus un projet obscur dans les cartons des ingénieurs, mais une réalité bien installée au cœur de vos programmes préférés.

Des preuves déjà à l’écran

Les preuves ? Elles sont déjà sous vos yeux. Un immeuble s’effondre dans la série argentine L’Éternaute : pur produit de l’IA. Adam Sandler se paie une cure de jouvence dans Happy Gilmore 2 ? Un rajeunissement numérique entièrement piloté par des algorithmes. La plateforme de streaming ne s’en cache plus et présente même ces technologies comme des outils permettant d’accélérer la créativité et de s’offrir des effets spéciaux dignes d’un blockbuster, sans en avoir forcément le budget.

Cette transparence a de quoi surprendre dans une industrie encore marquée par le souvenir cuisant de la grève historique de 2023. Les syndicats d’acteurs et de scénaristes s’étaient battus des mois durant pour encadrer l’usage de l’IA, terrorisés à l’idée d’être remplacés par des lignes de code. Un accord fragile avait été trouvé, imposant le consentement et une juste rémunération pour toute utilisation d’une doublure numérique. Mais la récente polémique autour de l’outil Sora 2, capable de générer des vidéos ultra-réalistes, a ravivé toutes les craintes, montrant à quel point la frontière entre l’outil et le substitut reste mince.

L’art et la manière (de faire des économies)

Une base de données sans protection, contenant pas moins de 40 milliards d’enregistrements bancaires, personnels et professionnels, a été exposée en ligne. La brèche majuscule touche Netcore Cloud, une plateforme d’e-mail marketing indienne.

40 milliards. C’est le chiffre vertigineux d’enregistrements qu’un chercheur en cybersécurité vient de découvrir en libre accès sur internet. Jeremiah Fowler, spécialiste reconnu dans le domaine, est tombé sur une base de données totalement non sécurisée appartenant à Netcore Cloud, entreprise basée à Mumbai, en Inde, spécialisée dans l’automatisation marketing. À l’intérieur, on retrouve des notifications de transactions bancaires avec numéros de comptes partiels, des messages liés à l’emploi, des e-mails de vérification et toute la machinerie des campagnes marketing modernes. Il y en a pour 13,4 téraoctets de données.

Zéro protection pour des milliards de données critiques

L’exposition n’aurait pas pu être plus totale. Aucun mot de passe ne barrait l’accès, aucun chiffrement ne protégeait les informations. N’importe qui avec les connaissances techniques basiques pouvait consulter ces très exactement 40 089 928 683 enregistrements stockés dans la base. En fouillant dans les fichiers, Jeremiah Fowler y a trouvé des adresses électroniques en pagaille, des objets de messages, mais aussi des informations techniques sensibles, comme des adresses IP et des détails SMTP qui auraient dû rester confidentiels.

Ce qui rend le tout préoccupant, c’est l’envergure de Netcore Cloud. Cette plateforme d’engagement client propulsée par intelligence artificielle sert 6 500 marques réparties dans 40 pays du globe, notamment en Inde, aux États-Unis, au Royaume-Uni, à Singapour, aux Émirats, aux Philippines, en Malaisie, au Vietnam et au Nigeria. Ses clients couvrent tous les secteurs, de la banque à l’e-commerce, en passant par les services financiers, médias, divertissement et le voyage.

Jeremiah Fowler a réagi avec la responsabilité qui caractérise les chercheurs éthiques. Dès sa découverte, il a notifié Netcore qui a verrouillé l’accès le jour même. L’entreprise a répondu en le remerciant et en demandant davantage d’informations sur la faille. Mais on peut se poser cette question : combien de temps cette porte est restée grande ouverte avant d’être détectée ? Impossible de le savoir sans audit forensique approfondi.

La crainte d’un phishing ciblé et d’une usurpation d’identité à grande échelle

Les risques liés à une telle exposition dépassent largement le simple spam. Les cybercriminels disposent désormais d’un trésor d’informations qui leur permet de cartographier les relations commerciales, bancaires et professionnelles de millions de personnes. Avec ces données, ils peuvent orchestrer des campagnes de phishing XXL, en utilisant de véritables détails financiers pour convaincre leurs cibles de la légitimité de leurs messages frauduleux.

Le scénario du clone-phishing peut inquiéter. En récupérant les métadonnées réelles, les lignes d’objet authentiques et les adresses d’expéditeurs officielles, des escrocs peuvent fabriquer des copies parfaites d’e-mails légitimes. Imaginez recevoir une notification bancaire qui reprend vos vraies opérations récentes mais vous redirige vers un site pirate. Les adresses e-mail elles-mêmes constituent une mine d’or, car beaucoup contiennent des noms complets et peuvent être croisées avec d’autres fuites de données pour récupérer des identifiants et mots de passe.

Un autre élément aggrave la situation : l’infrastructure exposée. Celle-ci présentait 89 ports réseau ouverts ce qui, on vous laisse l’imaginer, crée une surface d’attaque considérable pour d’éventuelles intrusions. Les fichiers consultés par Fowler mentionnaient des services internes marqués « production », avec des références à des bases de données et serveurs backend.

Cette cartographie détaillée de l’architecture système pourrait faciliter des attaques plus sophistiquées, voire des tentatives de ransomware. Précision importante, les 40 milliards d’enregistrements ne représentent pas autant d’individus uniques, puisque les mailings répétés gonflent artificiellement ce chiffre. Mais cela reste une exposition massive touchant potentiellement des millions de personnes.

La start-up française Riot a dévoilé un outil de simulation de smishing pour entraîner et sensibiliser les employés au phishing par SMS, une menace qui explose et touche désormais six personnes sur dix.

La menace du smishing, le phishing (hameçonnage) par SMS, explose en France. Après douze mois de négociations serrées avec les opérateurs télécom, l’entreprise Riot a lancé un simulateur de smishing qui permet de tester et former les employés de ses clients, en leur envoyant des messages faussement piégés. Rencontré aux Assises de la cybersécurité, le fondateur de la plateforme, Benjamin Netter, revient pour Clubic sur l’intérêt de sensibiliser les Français salariés à ce fléau qui piège bon nombre d’entre eux.

Le smishing, fléau quotidien de nos smartphones

On les connaît tous, ces SMS suspects qui prétendent venir d’un livreur, de sa plateforme de streaming préférée ou de la Sécurité sociale. Le smishing, qui est la contraction de SMS et phishing, est devenu l’arme de prédilection des cybercriminels. Les statistiques en disent long, puisque six personnes sur dix reçoivent désormais au moins un SMS frauduleux par semaine. Un bouleversement qui inquiète sérieusement les spécialistes.

Benjamin Netter, le fondateur de Riot (à ne pas confondre avec l’éditeur de jeu vidéo américain) observe cette mutation avec attention. « C’est une grosse tendance de fond dans la cyber maintenant. Le format de l’attaque va changer, avec de moins en moins d’e-mails, mais de plus en plus de textes par SMS, WhatsApp, Instagram, LinkedIn, ou alors par la voix », analyse-t-il. L’effacement progressif de la frontière entre vie professionnelle et personnelle sur nos téléphones transforme un peu chaque employé en porte d’entrée potentielle vers les systèmes de son entreprise.

Les scénarios d’attaque exploitent notre quotidien, avec beaucoup de réalisme, dont s’inspire Riot pour ses exercices. « Le plus courant en ce moment, c’est le fameux SMS « Bonjour, vous êtes chez vous » du livreur ; ou celui du péage, avec le faux pass Ulys », rappelle Benjamin Netter. Ces messages malveillants jouent sur l’urgence et la routine, pour court-circuiter notre vigilance. Voilà contre quoi Riot veut lutter.

Comment Riot a convaincu les opérateurs télécoms français

Lancer un outil de simulation par SMS pour tester les salariés d’une entreprise, comme vient de le faire Riot il y a quelques jours, n’a rien d’une promenade de santé. Là où l’e-mail permettait une mise en œuvre immédiate, le SMS impose un cadre strict qui implique les opérateurs télécoms. Pendant un an, Riot a multiplié les rendez-vous pour convaincre Orange, SFR, Bouygues Telecom et Free du bien-fondé de sa démarche. « On a réussi à avoir la bénédiction des opérateurs français pour faire ça », se félicite Benjamin Netter.

Dans le détail, l’entreprise s’appuie sur smsmode, une société française qui fait le pont avec les opérateurs, pour jouer les intermédiaires. Une flotte de numéros dédiés permet d’envoyer de faux SMS piégés aux collaborateurs. Le scénario pédagogique choisi suit toute une mécanique. D’abord, l’employé reçoit un message frauduleux, ensuite il clique sur le lien s’il tombe dans le piège, puis saisit ses identifiants sur une page d’hameçonnage, et découvre instantanément son erreur avec une explication des signaux d’alerte qu’il aurait dû repérer.

Mais le dispositif impose ses contraintes. « On a l’obligation de prévenir en amont les opérateurs qu’on va envoyer une attaque, du coup on s’accorde un délai de 48 heures avant de lancer effectivement l’attaque, la simulation », explique Benjamin Netter. Une limitation absente du phishing e-mail, mais qui n’altère en réalité pas l’efficacité de l’apprentissage. Une autre spécificité française à connaître est que pour attaquer les numéros personnels, l’entreprise doit obtenir l’accord préalable de chaque employé, une démarche généralement bien accueillie selon le fondateur.

La répétition de l’exercice, le secret pour maintenir la vigilance cyber des employés

Alors, est-ce que la méthode Riot fonctionne ? S’il est encore trop tôt pour obtenir des retours chiffrés sur le phishing par SMS, l’entreprise française détient des données intéressantes sur la version par e-mail. « La première attaque atteint en moyenne 20% de réussite, et ensuite, le nombre de personnes piégées diminue au fur et à mesure. À partir de la cinquième attaque, on réduit de 75% le risque, et on est plutôt autour de 3 à 4% de vulnérabilité » au sein d’un même pool de salariés, nous détaille Benjamin Netter. On comprend donc que la répétition régulière des exercices est fondamentale.

Car sans entraînement continu, la vigilance s’émousse rapidement. « C’est un exercice qui marche bien s’il est répété dans le temps, parce que les gens finissent parfois par oublier qu’ils peuvent tomber dans le piège du phishing », insiste le dirigeant. D’où la recommandation de lancer au minimum une simulation par trimestre, ou à défaut par semestre, sur l’ensemble des effectifs. Une cadence qui évoque les exercices d’évacuation incendie, cadence qui fait mouche auprès des clients de Riot.

Le taux de renouvellement des contrats reste à ce propos très élevé d’une année sur l’autre, avec des engagements allant jusqu’à trois ans chez les grands comptes. Et l’expansion internationale se poursuit, puisque après l’Italie et l’Espagne, Riot s’attaque désormais au marché américain. Seule ombre au tableau du smishing : l’outil reste pour l’instant limité aux numéros français.

Un coach cyber inspiré d’Albert Einstein

Aujourd’hui, les équipes de Riot comptent plus de 115 personnes à Paris, soit près de trois fois plus qu’il y a un an. Cette croissance fulgurante s’appuie sur des levées de fonds successives qui atteignent désormais quarante-cinq millions de dollars au total, dont 30 millions levés en série B début 2025.

Côté business, l’entreprise a généré 10 millions d’euros de chiffre d’affaires l’an dernier. Les 1 500 clients de Riot se répartissent entre des PME et des grands comptes. « Historiquement, nous, on ciblait les entreprises de taille intermédiaire, donc entre 200 et 2000 employés. Et depuis 18 mois, on travaille avec pas mal de grands comptes aussi, notamment Veolia », précise Benjamin Netter.

Au cœur de la plateforme française vit Albert, un personnage virtuel devenu la mascotte de l’entreprise, dont nous ne pouvions pas ne pas vous parler. Son apparence ? Celle d’un petit Einstein. Son origine ? Le fruit du hasard. « Un designer nous avait fait un petit personnage, il ressemblait à Albert Einstein, donc on l’a gardé et on l’a appelé Albert », raconte simplement le fondateur. Le coach cyber à la bonne bouille est intégré à Teams, Google Chat ou Slack. Il diffuse quotidiennement, comme un symbole des propriétés de Riot, des capsules de sensibilisation et alertes auprès des employés.