IA : Un bot fait pleuvoir les spams chez les PME en détournant une API d'OpenAI

Depuis septembre 2024, près de 80 000 sites web ont été inondés de contenus indésirables par un bot nommé AkiraBot. Ciblant les PME, cette opération automatisée, dévoilée par SentinelOne, s’est appuyée sur l’API GPT-4o-mini d’OpenAI, détournée pour générer massivement du spam.

Un cerveau artificiel pour du contenu artificiel. Avec un cynisme chirurgical, AkiraBot exploite les failles de sécurité des petites entreprises pour propulser des messages commerciaux à travers le web. Selon les chercheurs de SentinelOne, Alex Delamotte et Jim Walter, ce robot a contourné les protections d’OpenAI et utilisé des outils pour briser les Captchas. Résultat : 80 000 sites infectés, la plupart bâtis sur des CMS populaires comme Shopify, Wix ou Squarespace, choisis pour leur vulnérabilité et leur repérabilité technique.

Comme l'explique Siècle Digital, ce n’est pas un piratage au sens traditionnel. AkiraBot n’extorque pas, il vend. Sa mission consiste à proposer des services d’optimisation SEO en bombardant les sites de fausses promesses d’amélioration de visibilité. Une technique bien rodée, qui transforme le spam en canal de prospection commercial. « Contrairement aux apparences, AkiraBot n’a aucun lien avec le ransomware Akira », précisent les chercheurs, soulignant la sophistication et la stratégie marketing de l’opération. Siècle Digital souligne que la campagne visait prioritairement les TPE-PME, souvent les moins armées face aux menaces cyber.

OpenAI a fini par désactiver la clé API utilisée, mais l’affaire soulève un enjeu majeur : la facilité avec laquelle des outils d’IA accessibles peuvent être transformés en armes automatisées de tromperie et de nuisance commerciale.