ne simple photo de vacances est susceptible de vous mettre en danger. Avec l’IA générative, les cybercriminels peuvent facilement deviner où vous êtes parti en vacances. Sur base des informations collectées, ils peuvent ensuite mettre au point des arnaques personnalisées pour tenter de vous piéger… vous ou vos proches restés en France. Avec l’IA, n’importe qui peut deviner où vous êtes parti en vacances. C’est ce qui ressort d’une étude de McAfee, intitulée « Safer Summer Travel Report ». L’étude révèle que des modèles d’IA gratuits peuvent deviner où a été prise une photo de vacances. Il suffit en fait d’un simple selfie pour que l’intelligence artificielle détermine l’emplacement de votre lieu de villégiature. Les chercheurs ont assemblé un jeu de 21 236 images de voyage issues de bases de données publiques, complété par 102 photos personnelles fournies par des salariés de McAfee, jamais publiées en ligne. Ils ont ensuite demandé à des services d’IA gratuits de retrouver la ville, le pays ou la région uniquement à partir du visuel. L’IA n’avait pas le droit de se servir des métadonnées des images. Les algorithmes pouvaient exclusivement s’appuyer sur les indices visuels présents sur la photo, comme les bâtiments, la signalisation, la lumière, ou encore les paysages. Les experts ont mis à l’épreuve plusieurs modèles taillés pour la reconnaissance d’images, commencer par Gemma3 27B, développé par Google DeepMind. Celui-ci a identifié la ville où la photo a été prise dans 87 % des cas. Le modèle Qwen3 VL 30B, conçu par l’équipe Qwen d’Alibaba, fait encore mieux en identifiant correctement la localisation d’un cliché dans 91 % des tests. En clair, 9 photos de voyage sur 10 permettent à une IA gratuite de vous repérer, sans jamais avoir accès aux données techniques de l’image. Les tests ont été menés avec des modèles d’IA exécutés localement sur des ordinateurs de recherche, précisément pour se rapprocher du mode opératoire probable d’un cybercriminel aguerri. McAfee a aussi mis à l’épreuve une large variété d’IA grand public, comme ChatGPT, Claude ou Copilot, avec la requête « Où cette photo a?t?elle été prise ? ». Là encore, les résultats ont mis en lumière la capacité de l’IA à deviner l’emplacement d’un cliché avec une belle précision. On a fait le test nous-mêmes avec plusieurs de nos photos de vacances, et plusieurs modèles d’IA. Bien souvent, les modèles ont visé juste en reconnaissant des bâtiments ou des architectures particulières. Dans certains cas, le modèle a été particulièrement précis en nous localisant dans une rue. Le plus souvent, l’IA botte en touche lorsque l’image comprend peu d’éléments de paysage, ou est cadrée de près. Pour déterminer l’emplacement d’une photo de vacances, l’IA s’appuie d’abord sur des monuments emblématiques. Il est très facile de deviner où a été prise une photo devant la tour Eiffel, la Statue de la Liberté, la fontaine de Trevi, ou encore le Manneken Pis. Ensuite, les modèles d’IA vont s’attarder sur les lignes d’horizon, le style architectural, les marquages au sol, les panneaux de circulation ou même la végétation. Ces éléments vont être comparés aux images déjà « vues » par l’IA, ou issues de son corpus d’entraînement. En comparant les clichés, l’IA parvient progressivement à remonter jusqu’à l’emplacement exact d’une photo. Évidemment, des images prises dans une chambre d’hôtel standard ou sur une plage très générique donnent moins d’indices aux algorithmes. Néanmoins, les IA parviennent malgré tout à trouver des éléments qui permettent de deviner le pays, la ville ou la région. Comme l’explique McAfee dans son enquête, les photos de vacances peuvent être exploitées par des cybercriminels pour tenter de vous piéger. Dans un premier temps, le pirate peut repérer des photos de voyage publiées par sa cible sur Instagram, Facebook ou X. Il récupère ces photos et les envoie à un modèle d’IA, idéalement un modèle taillé pour la reconnaissance d’images. Il va ainsi déterminer la destination probable, le pays et parfois même la ville précise. « Le partage de nos clichés en voyage est devenu un réflexe, mais chaque photo postée est aussi une donnée que les cybercriminels peuvent exploiter. L’IA leur offre un niveau de précision inédit pour rendre leurs arnaques personnelles et crédibles. Un simple cliché de plage peut se transformer en prétexte pour un message frauduleux très convaincant », déclare Vonny Gamot, responsable chez McAfee. Le pirate croise ces informations avec la date des publications pour situer la période de séjour. Il ne lui reste plus qu’à générer automatiquement un message de phishing qui mentionne cette destination. Il va alors l’envoyer à sa victime pendant son voyage ou juste après. Comme toujours, les informations authentiques augmentent les chances que la cible réponde et finisse par tomber dans le piège. Par exemple, les escrocs peuvent envoyer des messages piégés comme « nous avons détecté une activité suspecte sur votre carte pendant votre séjour à Madrid », « votre réservation à Rome doit être reconfirmée, cliquez ici pour valider », ou encore « nous avons repéré une tentative de connexion à votre compte depuis votre hôtel à Cancun ». Les cybercriminels peuvent aussi contacter l’entourage de la personne partie en voyage, en prétextant un problème de santé ou un accident. Comme le souligne McAfee dans son étude, près d’1 Français sur 5 (17 %) partage leurs plans de voyage en temps réel sur les réseaux sociaux, offrant des informations précieuses aux criminels. Les chercheurs recommandent aux internautes de bien réfléchir avant de publier des photos sur les réseaux sociaux. En publiant vos clichés en temps réel, pendant votre séjour, vous risquez de vous retrouver dans le collimateur des criminels. On vous conseille de retarder le partage des photos. Attendezvous plutôt d’être rentré au bercail avant de dévoiler des photos de vous sur la plage, au bord de la piscine ou avec un cocktail en main. L’étude conseille aussi de bien paramétrer ses comptes Facebook et Instagram pour que les photos ne soient visibles que par un cercle restreint de personnes. Des paramètres bien configurés limitent les risques que vos photos tombent entre les mains d’internautes malveillants. Microsoft s’engage à sécuriser ses services critiques contre les ordinateurs quantiques d’ici 2029. Le géant américain rejoint ainsi Google et Cloudflare, qui ont eux aussi accéléré leur calendrier face à la menace qui se profile. Le monde de la technologie se prépare progressivement à l’avènement des ordinateurs quantiques. Persuadé que la menace quantique est « déjà d’actualité », Google a décidé de prendre de l’avance sur sa feuille de route. Le géant de Mountain View prévoit désormais de finaliser sa transition vers le chiffrement postquantique dès 2029, au lieu de 2035. À la suite de Cloudflare et de Google, Microsoft vient également de s’engager à passer à la vitesse supérieure. Tout comme eux, le géant américain prévoit désormais de faire passer ses « produits et services critiques » à la cryptographie post-quantique d’ici 2029. Dans un billet de blog, Microsoft estime que « les progrès de la recherche et du développement quantiques ont modifié l’horizon des risques », obligeant tous les acteurs à mettre les bouchées doubles. « Pendant des années, la planification de la cryptographie post-quantique (PQC) a été présentée comme un problème futur : important, inévitable, mais lointain », souligne Microsoft, ajoutant que « cette perspective évolue au fur et à mesure des progrès technologiques ». Pour Microsoft, il est probable que « les ordinateurs quantiques pertinents en cryptographie pourraient arriver plus tôt que prévu, et le travail nécessaire pour s’y préparer est considérable ». C’est pourquoi « les organisations doivent donc commencer dès maintenant à s’y préparer ». Interrogé par Bleeping Computer, Mark Russinovich, directeur technique de Microsoft Azure, a précisé qu’il ne s’agissait pas de réagir à une percée technologique précise, mais bien d’anticiper les risques à venir. Il explique que le fait de « passer à une sécurité résistante au quantique demande des années de travail » et que Microsoft préfère « agir en amont plutôt que d’attendre », de manière à ce que ses clients gardent « une longueur d’avance sur les menaces de demain ». Concrètement, Microsoft va d’abord généraliser TLS 1.3, la version la plus récente du protocole qui chiffre les échanges sur Internet, en prévision de la transition postquantique. Les anciens protocoles jugés fragiles seront progressivement abandonnés sur les points d’accès les plus sensibles. Par ailleurs, Microsoft va rendre ses systèmes plus « agiles ». En clair, Microsoft va permettre de déployer un nouvel algorithme de chiffrement sans devoir reconstruire toute l’application.

Poster un Commentaire