Breacher.ai, une plateforme de simulation d'ingénierie sociale IA, a annoncé l'ajout de la visioconférence par deepfake en direct à sa plateforme de simulation. Cette mise à jour offre aux équipes de sécurité d'entreprise et aux partenaires MSSP une plateforme unifiée pour exécuter la chaîne d'attaque complète d'ingénierie sociale IA, englobant les e-mails deepfake, le clonage vocal, le phishing par SMS et désormais l'usurpation d'identité vidéo en direct sur Microsoft Teams, Zoom et Google Meet. L'intégration permet aux organisations utilisant déjà Breacher pour les simulations e-mail, voix et SMS d'incorporer la vidéo dans toute campagne qu'elles conçoivent, permettant de tester les vecteurs d'attaque les plus pertinents pour leurs modèles de menace spécifiques.
Jason Thatcher, PDG et fondateur de Breacher.ai, a souligné l'importance cruciale de ce développement, affirmant que la vidéo représente un vecteur d'attaque actuellement non testé par la plupart des organisations. Il a noté que si les employés des services financiers peuvent identifier les e-mails de phishing, ils sont peu susceptibles de détecter une usurpation d'identité d'un directeur financier lors d'un appel Zoom en direct. La plateforme traite désormais l'ensemble du spectre des menaces d'ingénierie sociale IA, y compris le phishing généré par IA via e-mail, Microsoft Teams, Slack, SMS et les réseaux sociaux, avec des chaînes d'attaque multi-étapes qui imitent les tactiques réelles des adversaires. Elle comprend également des appels par clonage vocal en temps réel usurpant des cadres, des fournisseurs et du personnel de support technique, avec des temps de création de clones inférieurs à cinq minutes, conçus pour tester les procédures de vérification verbale et les protocoles de rappel.
La nouvelle capacité vidéo en direct déploie des avatars deepfake sur Teams, Zoom et Google Meet qui sont interactifs et conversationnels, permettant aux cibles de poser des questions et de recevoir des réponses de participants synthétiques. Cette fonctionnalité est conçue pour des conversations en direct et adaptatives plutôt que pour des clips pré-enregistrés. La plateforme comprend en outre une formation de sensibilisation avec des modules de micro-formation délivrés au moment de l'échec, un contenu spécifique aux rôles et accessible sur mobile visant à améliorer la rétention, et des bots éducatifs alimentés par l'IA agentique qui guident les employés à travers des scénarios réalistes de manière interactive. Les fonctionnalités de notation des risques et de reporting offrent une notation des risques en instance de brevet qui compare la vulnérabilité individuelle et départementale à celle des pairs de l'industrie, avec des rapports adaptés aux conseils d'administration et aux auditeurs, et une documentation de conformité automatisée alignée sur des réglementations telles que NIS2, DORA et ISO 27001.
La plateforme prend en charge trois modèles de déploiement sans nécessiter d'intégration informatique. Les équipes de sécurité d'entreprise peuvent accéder à des évaluations d'équipe rouge entièrement gérées avec des engagements sur mesure basés sur la structure, le personnel et le modèle de menace réels de l'organisation, coordonnant les simulations de phishing, les attaques vocales et l'usurpation vidéo comme des campagnes multi-étapes. Les partenaires MSSP et conseil en sécurité peuvent utiliser les mêmes capacités via une plateforme en libre-service en marque blanche sur breacher.ai, déployant sous leur propre marque, utilisant des playbooks intégrés et fournissant des rapports prêts pour le conseil d'administration aux clients. Une option auto-gérée offre aux équipes de sécurité un accès direct à la plateforme, une intégration API, un support MSP multi-locataires et un contrôle total sur la conception des campagnes et le reporting.
Les clients en accès anticipé ont signalé des impacts significatifs, un responsable informatique des services financiers notant que les utilisateurs étaient surpris par la qualité des deepfakes, décrivant l'expérience comme "vraiment fou de parler à un deepfake". Un PDG en cybersécurité l'a comparé à un épisode de Black Mirror, exprimant sa surprise face aux progrès de la technologie. Un RSSI d'une banque a souligné que toute l'entreprise discute déjà du clonage vocal et de ses risques, qualifiant cela d'"énorme succès". L'urgence de cette mise à jour est soulignée par les données de l'industrie, avec des fraudes par ingénierie sociale IA dépassant 200 millions de dollars au premier trimestre 2025, comme rapporté dans le Resemble AI Q1 2025 Deepfake Incident Report. Les attaques par deepfake vidéo ont contribué à une seule perte par fraude par virement de 25 millions de dollars en 2024, où la cible a suivi les procédures de vérification standard mais a tout de même transféré les fonds. Des réglementations comme NIS2 et DORA exigent désormais que les organisations fournissent et démontrent une formation efficace de la couche humaine, les auditeurs exigeant des preuves de changement de comportement plutôt que de simples registres d'achèvement.
Contrairement à la plupart des plateformes de sensibilisation qui limitent les équipes de sécurité à des simulations basées sur des modèles avec une personnalisation limitée, Breacher offre à la fois des playbooks prêts à l'emploi pour un déploiement rapide et un contrôle total des campagnes pour une modélisation des menaces sur mesure. La plateforme mise à jour est actuellement disponible, avec des évaluations d'entreprise fournies comme un service entièrement géré produisant des résultats en deux à trois semaines. L'accès MSSP et partenaire est fourni via le programme Breacher Early Access Partner, avec un support d'intégration dédié et un déploiement en marque blanche opérationnel sous 24 heures. Cette expansion comble une lacune critique dans les tests de cybersécurité, permettant aux organisations d'identifier proactivement les vulnérabilités de la couche humaine avant que des acteurs malveillants ne les exploitent, renforçant ainsi la résilience face aux menaces évolutives pilotées par l'IA.
