La cybersécurité est confrontée au défi de l’essor des intelligences artificielles
Ensuite, l’appelant a demandé de l’aide pour transférer de l’argent dans une banque à Singapour. Essayer d’aider, le vendeur s’est rendu chez son manager, qui a senti une odeur de rat et a confié l’affaire aux enquêteurs internes. Ils ont déterminé que des escrocs avaient reconstitué la voix de Chaudhry à partir de clips de ses propos publics dans le but de voler l’entreprise.
Chaudhry a raconté l’incident du mois dernier en marge de la conférence annuelle de la RSA sur la cybersécurité à San Francisco, où les inquiétudes concernant la révolution de l’intelligence artificielle a dominé la conversation.
Les criminels ont été les premiers à les adopter, Zscaler citant l’IA comme un facteur de la hausse de 47 % des attaques de phishing qu’il a connue l’année dernière. Les escrocs automatisent des textes plus personnalisés et des enregistrements vocaux scénarisés tout en évitant les alarmes en passant par des canaux non surveillés tels que les messages WhatsApp cryptés sur les téléphones portables personnels. Les traductions dans la langue cible s’améliorent et la désinformation est plus difficile à détecter, ont déclaré des chercheurs en sécurité.
Ce n’est que le début, craignent les experts, les dirigeants et les responsables gouvernementaux, car les attaquants utilisent l’intelligence artificielle pour écrire des logiciels capables de pénétrer dans les réseaux d’entreprise de manière novatrice, de modifier l’apparence et les fonctionnalités pour éviter la détection et de faire passer des données en contrebande via des processus qui semblent normaux. .
Cela va aider à réécrire le code, a averti le chef de la cybersécurité de la National Security Agency, Rob Joyce, lors de la conférence. Les adversaires qui travaillent maintenant surpasseront ceux qui ne le feront pas.
Le résultat sera des escroqueries plus crédibles, une sélection plus intelligente des initiés positionnés pour faire des erreurs et une croissance des prises de contrôle de compte et du phishing en tant que service, où les criminels embauchent des spécialistes compétents en IA.
Ces professionnels utiliseront les outils pour automatiser, corréler et extraire des informations sur les employés les plus susceptibles d’être victimes, a déclaré Deepen Desai, responsable de la sécurité de l’information et responsable de la recherche chez Zscalers.
Ce seront des questions simples qui tirent parti de ceci : Montrez-moi les sept dernières interviews de Jay. Faites une transcription. Trouvez-moi cinq personnes connectées à Jay dans le département des finances. Et boum, passons un appel vocal.
Les programmes de sensibilisation au phishing, que de nombreuses entreprises exigent que leurs employés étudient chaque année, seront réorganisés.
La perspective survient alors qu’un éventail de professionnels signale de réels progrès en matière de sécurité. Les rançongiciels, bien qu’ils ne disparaissent pas, ont cessé de s’aggraver de façon spectaculaire. La cyberguerre en Ukraine a été moins désastreuse qu’on ne le craignait. Et le gouvernement américain a partagé des informations opportunes et utiles sur les attaques, avertissant cette année 160 organisations qu’elles étaient sur le point d’être touchées par un rançongiciel.
L’IA aidera également les défenseurs, en analysant des tonnes de journaux de trafic réseau à la recherche d’anomalies, en accélérant beaucoup les tâches de programmation de routine et en recherchant les vulnérabilités connues et inconnues qui doivent être corrigées, ont déclaré des experts lors d’entretiens.
Certaines entreprises ont ajouté des outils d’IA à leurs produits défensifs ou les ont publiés pour que d’autres les utilisent librement. Microsoft, qui a été la première grande entreprise à publier une IA basée sur le chat pour le public, a annoncé Microsoft Security Copilot en mars. Il a déclaré que les utilisateurs pouvaient poser des questions au service sur les attaques captées par la collection de milliers de milliards de signaux quotidiens de Microsoft ainsi que sur les renseignements extérieurs sur les menaces.
La société d’analyse de logiciels Veracode, quant à elle, a déclaré que son prochain outil d’apprentissage automatique analyserait non seulement le code à la recherche de vulnérabilités, mais proposerait des correctifs pour ceux qu’il trouve.
Mais la cybersécurité est un combat asymétrique. L’architecture obsolète des principaux protocoles d’Internet, la superposition incessante de programmes défectueux les uns sur les autres et des décennies d’échecs économiques et réglementaires opposent des armées de criminels qui n’ont rien à craindre aux entreprises qui ne savent même pas combien de machines elles possèdent. seuls qui exécutent des programmes obsolètes.
En multipliant les pouvoirs des deux côtés, l’IA donnera beaucoup plus de jus aux attaquants dans un avenir prévisible, ont déclaré les défenseurs lors de la conférence RSA.
Chaque protection technologique, telle que la reconnaissance faciale automatisée, introduit de nouvelles ouvertures. En Chine, deux voleurs auraient utilisé plusieurs photos haute résolution de la même personne pour réaliser des vidéos qui ont trompé les programmes de reconnaissance faciale des autorités fiscales locales, permettant une arnaque de 77 millions de dollars.
De nombreux professionnels de la sécurité chevronnés se moquent de ce qu’ils appellent la sécurité par l’obscurité, où les cibles prévoient de survivre aux tentatives de piratage en cachant les programmes dont elles dépendent ou comment ces programmes fonctionnent. Une telle défense est souvent adoptée non par conception, mais comme une justification pratique pour ne pas remplacer les anciens logiciels spécialisés.
Les experts affirment que tôt ou tard, les esprits curieux découvriront les failles de ces programmes et les exploiteront pour s’introduire.
L’intelligence artificielle met toutes ces défenses en péril mortel, car elle peut démocratiser ce type de connaissances, faisant connaître partout ce qui est connu quelque part.
Incroyablement, il n’est même pas nécessaire de savoir programmer pour construire un logiciel d’attaque.
Vous pourrez dire, dites-moi simplement comment pénétrer dans un système, et il dira, voici 10 voies d’accès, a déclaré Robert Hansen, qui a exploré l’IA en tant que directeur adjoint de la technologie chez la société de sécurité Tenable. Ils vont juste entrer. Ce sera un monde très différent.
En effet, un expert de la société de sécurité Forcepoint a rapporté le mois dernier qu’il avait utilisé ChatGPT pour assembler un programme d’attaque capable de rechercher des documents sur un disque dur cible et de les exporter, le tout sans écrire de code lui-même.
Dans une autre expérience, ChatGPT a hésité lorsque Nate Warfield, directeur du renseignement sur les menaces de la société de sécurité Eclypsium, lui a demandé de trouver une vulnérabilité dans le micrologiciel d’un routeur industriel, l’avertissant que le piratage était illégal.
Alors j’ai dit, dites-moi toutes les pratiques de codage non sécurisées, et ça disait, Ouais, ici, se souvient Warfield. Cela facilitera grandement la recherche de défauts à grande échelle.
Entrer n’est qu’une partie de la bataille, c’est pourquoi la sécurité en couches est un mantra de l’industrie depuis des années.
Mais la chasse aux programmes malveillants déjà présents sur votre réseau va également devenir beaucoup plus difficile.
Pour montrer les risques, une société de sécurité appelée HYAS a récemment publié un programme de démonstration appelé BlackMamba. Il fonctionne comme un enregistreur de frappe classique, avalant les mots de passe et les données de compte, sauf qu’à chaque fois qu’il s’exécute, il appelle OpenAI et obtient un code nouveau et différent. Cela rend la tâche beaucoup plus difficile pour les systèmes de détection, car ils n’ont jamais vu le programme exact auparavant.
Le gouvernement fédéral agit déjà pour contrer la prolifération. La semaine dernière, la National Science Foundation a déclaré qu’elle et des agences partenaires verseraient 140 millions de dollars dans sept nouveaux instituts de recherche consacrés à l’IA.
L’un d’eux, dirigé par l’Université de Californie à Santa Barbara, cherchera des moyens d’utiliser la nouvelle technologie pour se défendre contre les cybermenaces.