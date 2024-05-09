Les avancées réalisées dans le domaine des grands modèles de langage (LLM) alimentent une course à l’armement entre les professionnels de la cybersécurité et les escrocs spécialisés dans l’ingénierie sociale. Voici ce à quoi nous pouvons nous attendre en 2024.
Pour les entreprises, l’IA générative est à la fois une malédiction et une opportunité. Alors que les entreprises s’empressent d’adopter cette technologie, elles s’exposent également à une toute nouvelle couche de cyberrisque. La peur constante de passer à côté de quelque chose n’aide pas non plus. Mais les cybercriminels ne s’attaquent pas seulement aux modèles d’IA eux-mêmes. À une époque où la falsification est devenue la norme, ils utilisent également l’IA pour créer des attaques d’ingénierie sociale extrêmement convaincantes ou pour générer de la désinformation à grande échelle.
Si le potentiel de l’IA générative pour faciliter les processus créatifs et analytiques ne fait aucun doute, les risques qu’elle comporte sont moins évidents. Après tout, les e-mails de phishing créés à l’aide de cette technologie sont plus convaincants que ceux truffés de fautes de frappe et d’erreurs grammaticales. Les images de profil créées à l’aide de synthétiseurs d’images sont de plus en plus difficiles à distinguer des images réelles. Nous arrivons aujourd’hui à un stade où même les vidéos deepfake peuvent facilement nous tromper.
Grâce à ces technologies, les cybercriminels sont en mesure de créer des personas très convaincants et d’étendre leur portée via les réseaux sociaux, les e-mails et même les appels audio ou vidéo en direct. Certes, l’IA générative en est encore à ses débuts dans le domaine de l’ingénierie sociale, mais il ne fait aucun doute qu’elle finira par façonner l’ensemble du paysage de la cybercriminalité dans les années à venir. C’est dans cette optique que nous vous présentons certaines de nos principales prévisions pour 2024 concernant la cybercriminalité liée à l’IA générative.
Le crime sous forme de service n’est pas une nouveauté. Les syndicats de la cybercriminalité rôdent depuis des années sur les forums et les marchés du dark web, recrutant des personnes moins douées techniquement pour étendre leur portée malveillante.
Mais avec la démocratisation de l’IA et des données, de nouvelles opportunités s’offrent aux acteurs de la menace non techniques pour se joindre à la mêlée. Grâce aux LLM, les cybercriminels en herbe n’ont plus qu’à saisir quelques prompts afin de créer un e-mail de phishing convaincant ou un script malveillant. Cette nouvelle génération peut désormais rationaliser l’utilisation de l’IA à des fins malveillantes.
En octobre 2023, IBM a publié un rapport révélant que le taux de clics pour un e-mail de simulation de phishing généré par l’IA était de 11 %, contre 14 % pour celui généré par les humains. Cependant, si les humains sont sortis vainqueurs, l’écart se réduit rapidement à mesure que la technologie progresse. Compte tenu de l’émergence de modèles plus sophistiqués, capables de mieux imiter l’intelligence émotionnelle et de créer du contenu personnalisé, il est fort probable que le contenu de phishing créé par l’IA devienne tout aussi convaincant, voire plus. Sans compter qu’il faut parfois des heures pour rédiger un e-mail de phishing convaincant, alors que quelques minutes suffisent avec l’IA générative.
Les e-mails de phishing courants ne seront plus facilement identifiables grâce à des fautes d’orthographe et de grammaire ou à d’autres indices évidents. Cela ne signifie pas que les escrocs spécialisés dans l’ingénierie sociale deviennent plus intelligents, mais la technologie dont ils disposent l’est très certainement.
De plus, les escrocs peuvent facilement récupérer des données auprès des marques qu’ils tentent d’usurper, puis les introduire dans un LLM afin de créer un contenu de phishing qui reprend le ton, la voix et le style d’une marque légitime. De plus, étant donné notre tendance à partager trop d’informations sur les réseaux sociaux, le data scraping assisté par l’IA est de plus en plus efficace pour transformer nos personas en ligne en profils cibles intimes pour des attaques hautement personnalisées.
Newsletter sectorielle
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
La plupart des modèles d’IA générative populaires sont fermés et intègrent des barrières de sécurité robustes. ChatGPT ne générera pas sciemment un e-mail de phishing, et Midjourney ne générera pas sciemment une image compromettante qui pourrait être utilisée à des fins de chantage. Cela dit, même les plateformes les plus strictement surveillées et sécurisées peuvent être utilisées à mauvais escient. Par exemple, depuis sa sortie, des personnes tentent de débrider ChatGPT en utilisant le prompt dit « DAN » (« Do Anything Now ») pour le faire fonctionner sans filtres ni restrictions.
Nous sommes actuellement au cœur d’une course à l’armement entre les développeurs de modèles et ceux qui cherchent à les pousser au-delà de leurs limites prédéfinies. Dans la plupart des cas, cela relève de la curiosité et de l’expérimentation, notamment chez les professionnels de la cybersécurité qui veulent savoir à quoi ils ont affaire.
Le risque le plus important réside dans le développement de modèles open source, tels que Stable Diffusion pour la synthèse d’images ou GPT4ALL pour la génération de texte. Les LLM open source peuvent être personnalisés, étendus et libérés de toute contrainte arbitraire. De plus, ces modèles peuvent fonctionner sur n’importe quel ordinateur de bureau équipé d’une carte graphique suffisamment puissante, loin de l’œil vigilant du cloud. Si les modèles personnalisés et open source nécessitent généralement un certain niveau d’expertise technique, en particulier pour les entraîner, ils ne sont certainement pas réservés aux experts en développement de logiciels malveillants ou en science des données.
Les syndicats de la cybercriminalité développent déjà leurs propres modèles personnalisés et les vendent via le dark web. WormGPT et FraudGPT sont deux exemples de chatbots utilisés pour développer des logiciels malveillants ou mener des attaques de piratage. Et, tout comme les modèles grand public, ils font l’objet d’un développement et d’un perfectionnement constants.
En février 2024, CNN a rapporté qu’un employé du service financier d’une multinationale avait été victime d’une escroquerie et avait versé 25 millions de dollars à des fraudeurs. Il ne s’agissait pas d’un e-mail de phishing comme ceux que nous connaissons tous. Mais d’une vidéo deepfake dans laquelle l’escroc avait utilisé l’IA générative afin de créer un avatar qui imitait de manière convaincante le directeur financier de l’entreprise lors d’une conférence en direct.
On pourrait penser qu’une telle attaque semble tout droit sortie d’un scénario dystopique de science-fiction. Après tout, ce qui semblait farfelu il y a quelques années seulement est en passe de devenir le vecteur numéro un pour les attaques d’ingénierie sociale sophistiquées et très ciblées.
Un rapport récent a révélé que rien qu’en 2023, les tentatives de fraude par deepfake ont augmenté de 3 000 %, et tout porte à croire que cette tendance se poursuivra en 2024 et au-delà. Après tout, la technologie de permutation de visages est désormais facilement accessible et, comme toutes les autres formes d’IA générative, elle progresse à un rythme tel que les législateurs et les professionnels de la sécurité de l’information ont du mal à suivre.
La seule chose qui freine les escroqueries par vidéo deepfake est la puissance de calcul nécessaire, en particulier pour les escroqueries réalisées en temps réel. Une préoccupation plus immédiate, surtout dans un avenir proche, est la capacité de l’IA générative à imiter les voix et les styles d’écriture. Par exemple, VALL-E de Microsoft est capable de créer un clone convaincant de la voix d’une personne à partir d’un enregistrement audio de trois secondes. Même l’écriture manuscrite n’est pas à l’abri des deepfakes.
Comme presque toutes les innovations disruptives, l’IA générative peut être utilisée à bon ou à mauvais escient. Le seul moyen viable pour les professionnels de la sécurité informatique de suivre le rythme est d’intégrer l’IA dans leurs processus de détection et d’atténuation des menaces. Les solutions d’IA fournissent également les outils nécessaires pour améliorer la rapidité, la précision et l’efficacité des équipes de sécurité. L’IA générative peut notamment s’avérer utile dans des opérations telles que l’analyse des logiciels malveillants, la détection et la prévention du phishing, ainsi que la simulation et l’entraînement aux menaces.
Le moyen le plus efficace de garder une longueur d’avance sur les cybercriminels est de penser comme eux, d’où l’intérêt du red teaming et de la sécurité offensive. Grâce à l’utilisation d’un ensemble d’outils et de processus similaires à ceux utilisés par les acteurs de la menace, les professionnels de la sécurité informatique sont mieux armés pour garder une longueur d’avance.
En comprenant le fonctionnement de la technologie et la manière dont les acteurs malveillants l’utilisent, les entreprises peuvent également former plus efficacement leurs employés à la détection des médias synthétiques. À une époque où l’usurpation d’identité et la tromperie sont plus faciles que jamais, il est capital de préserver le réel face à la vague croissante de falsifications.
Si vous souhaitez en savoir plus sur la cybersécurité à l’ère de l’IA générative et sur la manière dont l’IA peut améliorer les capacités de vos équipes de sécurité, consultez le guide détaillé d’IBM.