Une nouvelle stratégie de cybersécurité est déployée au milieu du buzz de l’IA et des craintes d’abus

L’administration Biden s’apprête à mettre en œuvre une nouvelle stratégie de sécurité nationale axée sur l’arrêt des pirates, car le buzz autour des outils d’intelligence artificielle fait craindre à certains experts que des criminels ne tentent d’exploiter les capacités de l’IA.

L’un des objectifs de la stratégie de l’administration est de détourner l’attention des victimes de la cybercriminalité, ont déclaré des responsables américains de la sécurité. Les évaluations après coup se concentrent souvent sur la cible pour être suffisamment vulnérable pour être piratée – mais si cette cible est un hôpital rural, par exemple, des limites peuvent exister sur ce que cet hôpital peut faire pour se protéger contre les mauvais acteurs, en particulier ceux soutenus par gouvernements étrangers.

Au lieu de cela, le nouveau plan se concentre sur le renforcement des partenariats public-privé qui encouragent les entreprises de sécurité à partager ce qu’elles savent sur les réseaux de pirates afin de les traduire en justice.

Les technologies émergentes testeront la viabilité de la stratégie à l’avenir, ont déclaré des experts à ABC News, en particulier avec l’IA posant de nouveaux défis en matière de sécurité.

Les mêmes avantages observés dans les outils d’IA comme ChatGPT du laboratoire de recherche OpenAI, qui formule des réponses de type humain aux questions posées par un utilisateur, sont vulnérables à une utilisation néfaste, selon Ari Jacoby, un cadre technologique qui s’est concentré sur l’utilisation de l’IA pour lutter contre la fraude. .

Compte tenu des volumes d’informations accessibles au public sur le génie logiciel, les pirates pourraient utiliser les robots de discussion pour générer ou améliorer un code informatique malveillant, a déclaré Jacoby.

Selon la politique d’utilisation d’OpenAI, l’utilisation de ChatGPT pour écrire des logiciels malveillants, générer du contenu haineux ou nuisible ou se livrer à des activités frauduleuses est explicitement interdite. La question est de savoir si les entreprises technologiques sont capables d’appliquer de telles règles à mesure que la technologie de l’IA se répand.

« Les ChatGPT du monde – qui font bien plus de bien que de mal – mettent à disposition des outils capables d’écrire du code logiciel en moins d’une minute, ce qui aurait pris à un mauvais acteur ou à un mauvais réseau potentiellement des jours ou des semaines pour fonctionner », Jacoby a dit.

Au lieu d’utiliser ChatGPT pour trouver des idées de recettes ou écrire des e-mails de travail de base, les acteurs malveillants pourraient tenter d’écrire de gros volumes d’e-mails de phishing qui incitent les destinataires à télécharger des logiciels malveillants ou à donner des informations financières personnelles.

Alternativement, des outils similaires utilisés pour analyser et évaluer les tendances dans de grands ensembles de données peuvent potentiellement être utilisés pour lutter contre la fraude, a déclaré Jacoby. Les sociétés de cartes de crédit, par exemple, pourraient bénéficier de la capacité de détecter les anomalies dans le comportement d’un client pour déterminer si les achats sont authentiques.

Pendant ce temps, les États-Unis sont confrontés à une attaque quotidienne de violations de la cybersécurité par des groupes soutenus par la Russie, la Chine et la Corée du Nord, selon de récentes évaluations du gouvernement américain et des sociétés privées de cyber-renseignement. Les experts s’attendent à ce que ces efforts testent la résilience de la nouvelle cyberstratégie de l’administration.

« Ils sont incroyablement sophistiqués et ils sont incroyablement bien financés et bien équipés », a déclaré Jacoby. « Ils ont de nombreux outils d’IA à leur disposition. »

Une analyse récente des communautés de piratage souterraines par la cyberentreprise Check Point Research a trouvé des forums en ligne où de nouvelles approches des outils de piratage ont été discutées, y compris un fil de discussion intitulé « ChatGPT – Avantages des logiciels malveillants ».

L’auteur a écrit qu’il tentait d’utiliser ChatGPT pour recréer un code informatique malveillant basé sur des documents de recherche sur le piratage.

Bien que la stratégie de l’administration Biden ne se penche pas sur les spécificités des technologies émergentes, telles que l’IA, elle est conçue pour être suffisamment agile pour tenir compte des nouveaux développements dans le paysage de la cybersécurité en évolution rapide.

« Ce sont des efforts pluriannuels où nous allons trouver des lacunes et où le Congrès devra ensuite se pencher pour nous aider à arriver là où nous devons aller », a déclaré le directeur national par intérim de la cybersécurité, Kemba Walden, lors d’un forum de discussion sur la stratégie. semaine. « C’est une symphonie, pas un seul mouvement. »

« C’est un processus continu », a-t-elle ajouté.

Walden a souligné le rôle important que jouent les fournisseurs de services de cloud computing dans la sécurisation des données en tant que « multiplicateur de force » pour les premiers intervenants en matière de cybermenaces.

Google Cloud, par exemple, fournit une variété de services de stockage de données et d’hébergement de sites Web. La capacité de l’entreprise à défendre ses systèmes a été renforcée par son acquisition de la société de cybersécurité Mandiant l’année dernière.

« Tout le monde a une responsabilité partagée ici », a déclaré Stacy O’Mara, qui dirige la stratégie gouvernementale et le partenariat chez Mandiant. « Je pense que c’est le but de la stratégie – renforcer ce concept de défense partagée. »

« Nous avons un long processus devant nous », a déclaré O’Mara, « mais je suis encouragé par les efforts de l’administration. »