IA générative et cybersécurité
Imaginez ce scénario : vous recevez un e-mail de votre PDG vous demandant d’envoyer des informations. C’est écrit dans son ton de voix exact, en utilisant le langage exact qu’elle utilise habituellement, et fait même référence à son chien dans une blague. C’est précis, précis et tout à fait convaincant. Mais ce n’était même pas un humain. Il a été conçu par l’IA générative, en n’utilisant que quelques informations de base fournies par un cybercriminel à partir de profils de médias sociaux.
L’émergence de ChatGPT a catapulté l’IA dans la conscience dominante, et avec elle viennent de réelles inquiétudes quant aux implications pour la cyberdéfense. Quelques semaines après son lancement, les chercheurs ont pu démontrer la capacité de ChatGPT à rédiger des e-mails de phishing, à créer du code malveillant et à expliquer comment intégrer des logiciels malveillants dans des documents.
Ajoutant encore plus de carburant à la flamme, ChatGPT n’est pas le premier chatbot à arriver sur le marché.
Le mois dernier, nous avons également vu Google et Baidu jeter leur chapeau sur le ring. Alors, alors que les géants de la technologie réclament de créer la meilleure IA générative, qu’est-ce que cela signifiera pour l’avenir de la cyberdéfense ?
Il y a 30 % de chances qu’une entreprise australienne soit victime d’une cyberattaque, le coût moyen de chaque violation de données étant de 3,35 millions de dollars.
La barrière à l’entrée n’a probablement pas encore été abaissée de manière significative
L’une des premières questions soulevées par ChatGPT était celle de la cybersécurité, les cybercriminels pourraient-ils utiliser ChatGPT ou une autre IA générative pour améliorer leurs campagnes d’attaque ? Pourrait-il permettre l’entrée d’acteurs menaçants potentiels ?
ChatGPT est un outil puissant, et ses nombreux cas d’utilisation potentiels peuvent aider les utilisateurs existants à devenir plus efficaces, à regrouper les connaissances et à automatiser les tâches de niveau inférieur dans un monde marqué par une transformation numérique rapide.
Cependant, l’IA générative n’est pas encore la solution miracle qui résout tout ; il a ses limites. De toute évidence, il ne sait que ce à quoi il a été formé et nécessite une formation continue. Cela signifie également, comme nous l’avons vu, que lorsque les données sur lesquelles il a été formé sont erronées, ses réponses le sont également. Les universités et les médias font part de leurs inquiétudes quant au potentiel de plagiat assisté par l’IA et à la propagation de la désinformation. Par conséquent, les humains sont toujours nécessaires pour vérifier sa sortie. Parfois, il peut être difficile de dire si ChatGPT vient de composer le contenu ou si sa sortie est basée sur des informations fiables.
Il en va de même pour toute application de l’IA générative aux cybermenaces. Si un criminel voulait écrire un logiciel malveillant, il devrait toujours guider ChatGPT tout au long de sa création, puis revérifier les capacités du logiciel malveillant. Un acteur menaçant potentiel a besoin de connaissances préexistantes sur les campagnes d’attaque pour l’utiliser efficacement, ce qui signifie que la barrière à l’entrée n’a pas encore été abaissée de manière significative ! En ce qui concerne la conception technique des attaques, certaines nuances existent encore, par exemple dans la création d’e-mails de phishing crédibles.
Les attaques génératives alimentées par l’IA signifient que la qualité prime sur la quantité
Chez Darktrace, nous nous sommes demandé s’il était justifié de craindre que ChatGPT puisse entraîner une augmentation du nombre de cyberattaques ciblant les entreprises. Nous avons donc effectué nos propres recherches auprès de notre clientèle. Ce que nous avons trouvé raconte une histoire légèrement différente.
Alors que le nombre d’attaques par e-mail est resté largement le même depuis la sortie de ChatGPT, le nombre d’e-mails de phishing qui consistent à inciter la victime à cliquer sur un lien malveillant a en fait diminué de 22 % à 14 %. Cependant, la complexité linguistique moyenne des e-mails de phishing a bondi de 17 %. Plus de 300 000 cybercrimes sont commis en Australie chaque année, avec une augmentation de 13 % en 2022 par rapport à l’année précédente.
Bien sûr, corrélation ne signifie pas causalité, une de nos théories est que ChatGPT permet aux cybercriminels de rediriger leur attention. Au lieu d’utiliser des attaques par e-mail avec des liens malveillants ou des logiciels malveillants, les criminels voient un retour sur investissement plus élevé dans l’élaboration d’escroqueries techniques sophistiquées qui exploitent la confiance et incitent l’utilisateur à agir directement. Par exemple, il pourrait être utilisé pour persuader les RH de modifier les détails du paiement du salaire du PDG sur le compte bancaire d’une mule d’argent contrôlée par un attaquant.
Imaginez à nouveau l’hypothèse que nous avons posée au début : il ne faudrait que quelques minutes à un criminel pour récupérer rapidement des informations sur une victime potentielle à partir de ses comptes de réseaux sociaux et demander à ChatGPT de créer un e-mail basé sur ces informations. En quelques secondes à peine, ce criminel serait armé d’un e-mail de harponnage crédible, bien écrit et contextualisé, prêt à être envoyé.
Un avenir de machines combattant des machines
Depuis près de 10 ans maintenant, nous prédisons un avenir d’attaques renforcées par l’IA, et il semble que nous soyons peut-être à l’aube de cet avenir maintenant. La course aux armements de l’IA générative poussera les géants de la technologie à publier l’IA la plus précise, la plus rapide et la plus crédible du marché. Et il est inévitable que les cybercriminels exploitent cette innovation pour leur propre profit. L’introduction de l’IA, qui peut également inclure de l’audio et de la vidéo deepfake, dans le paysage des menaces permettra aux criminels de lancer plus facilement des attaques personnalisées qui évoluent plus rapidement et fonctionnent mieux.
Pour les défenseurs chargés de protéger leurs employés, leurs infrastructures et leur propriété intellectuelle, la réponse sera de se tourner vers la cyberdéfense basée sur l’IA. L’IA auto-apprenante sur le marché aujourd’hui fonde sa capacité à identifier et à contenir les attaques subtiles grâce à une connaissance approfondie des utilisateurs et des appareils au sein des organisations qu’elle protège. En apprenant ces modes de vie, il développe une compréhension globale de ce qui est normal pour les utilisateurs dans le contexte réel des données commerciales quotidiennes. La meilleure façon d’arrêter les attaques hyper-personnalisées et alimentées par l’IA est d’avoir une IA qui en sait plus sur votre entreprise que l’IA externe et générative ne pourrait jamais le faire.
Il est clair que l’introduction de l’IA générative dans le courant dominant fait pencher la balance vers une guerre des algorithmes contre les algorithmes, des machines combattant des machines. Pour la cybersécurité, le moment est venu d’introduire l’IA dans les boîtes à outils des défenseurs.