L’intelligence artificielle est montée sur le devant de la scène depuis l’arrivée de ChatGPT en version trois. Pourtant, lorsque l’on se penche sur la littérature disponible sur le sujet, à la fois dans le domaine scientifique et en particulier dans le domaine de la cyber sécurité, on retrouve un nombre conséquent de publications.
Sur notre blog, en 2017, nous abordions déjà la nécessaire transparence des algorithmes de machine Learning, en 2018, la nécessité d’une réglementation de l’intelligence artificielle et en 2019, nous alertions sur les dangers des deep fake. Les progrès récents de l’intelligence artificielle ont accéléré la mise à disposition au plus grand nombre d’outils extrêmement puissants, augmentant de fait les risques liés à ces derniers. En n’oubliant pas tous les bénéfices apportés depuis des années par les algorithmes, faisons un tour d’horizon des risques encourus par les particuliers et les entreprises.
Usages ciblant les personnes
L’IA serait-elle pour le cybercriminel l’exosquelette du travailleur manuel ou du fantassin ? En décuplant ses forces et ses capacités, il excelle dans la création de campagnes d’ingénierie sociale ou d’hameçonnage. Les escroqueries qui en résultent sont plus nombreuses, plus efficaces et donc plus rentables. Si depuis longtemps l’intelligence artificielle (les outils de traduction en particulier) permet aux escrocs de rédiger dans de nombreuses langues leurs messages, la puissance des nouveaux outils leur confère des possibilités de génération de textes et de discussions en temps réel, passant d’un envoi unique à une conversation soutenue.
Dans son article, André Lameiras interroge ChatGPT pour connaître les meilleurs moyens de converser sur un site de rencontres et arriver à ses fins. L’essai est malheureusement transformé, des utilisateurs de ces plateformes ayant avoué avoir recours à l’IA pour leurs conversations.
La manipulation d’images ou de vidéo n’est pas absente des usages illégaux des IA. Le FBI prévient que le nombre de sextorsion est en hausse, non plus uniquement à partir de contenus réels volé aux victimes, mais de contenus inventés ou retouchés par l’IA. Cette tendance est malheureusement confirmée par les chiffres de notre télémétrie, notre rapport sur les menaces du 1er trimestre 2023 pointe l’augmentation des emails de sextorsion, les plaçant à la seconde place des menaces par emails dans le classement de nos détections (en France).
Quels sont les conseils à suivre ? Face à la prolifération des menaces, il faut faire confiance aux systèmes de détection automatique. Mais sans oublier que notre vigilance est le meilleur moyen de contrecarrer les attaques cyber. Si c’est trop beau pour être vrai, c’est que c’est sûrement une arnaque, si le comportement de votre interlocuteur est inhabituel ou que la pression qu’il exerce est très forte, il faut douter, prendre du recul et confirmer l’information par d’autres moyens, voire couper les ponts.
Usages ciblant les entreprises
Les risques qui pèsent sur les particuliers s'appliquent aussi aux entreprises. Chaque employé est potentiellement vulnérable aux mêmes ressorts, à la maison, comme au travail. L'un des exemples les plus frappant et peut-être l’un des plus rentables : la fraude au président.
L’objectif des cyber criminels consiste à obtenir des virements frauduleux. Ils se font passer pour une relation du dirigeant et demande de garder les opérations confidentielles. Plusieurs millions ont ainsi été détournés car l’employé en charge des virements pensait qu’il discutait avec le chef d’entreprise. L’IA vient encore une fois « augmenter » les capacités de l’attaquant, lui permettant de reproduire la voix d’une personne ou son image.
Mais l’intelligence artificielle fait aussi peser un risque sur les infrastructures de l’entreprise. L’automatisation et la puissance de calcul peuvent être utilisés pour deviner des mots de passe, tester des scénarios d’attaque ou découvrir des failles logicielles et ainsi pénétrer dans les systèmes pour récolter et exfiltrer des informations. La crise la plus fréquente ces dernières années étant le rançongiciel.
Risques pour les entreprises
Si l’intelligence artificielle peut être sciemment utilisée par les cybercriminels pour attaquer les particuliers comme les entreprises, l’usage même de ces outils engendre des risques. L’engouement provoqué par les intelligences artificielles générative a amené un grand nombre de personnes à soumettre des données personnelles ou sensibles via les prompts. Ceci a engendré la fuite d’un certain nombre d’informations d’entreprises d’une part. D’autre part, certaines failles ont permis l’accès frauduleux aux prompts enregistrés dans ChatGPT et donc la divulgation à plus large échelles d’informations personnelles. Comme avec toute utilisation d’un outil tiers, il est nécessaire de prendre en compte les conditions générales d’utilisation ainsi que les règles de confidentialité qui s’appliquent.
Lors de mon entretien avec Maître Claire Poirson, avocate spécialisée dans le numérique, pour le podcast CyberDolus, cette professionnelle du droit évoque le dilemme amené par l’intelligence artificielle dans l’apprentissage en entreprise. En remplaçant certaines tâches répétitives, mais formatrices, auparavant attribuées de préférences aux personnes en formation, il devient nécessaire d’inventer un processus nouveau pour que les connaissances soient acquises.
À retenir
Sans nul doute, les intelligences artificielles, et elles sont nombreuses, sont des outils formidables et épatants. Les entreprises, qu’elles soient criminelles ou non, se sont emparées depuis des années de ses technologies. Il est difficile de prédire quels usages seront plébiscités par les attaquants, mais on peut compter sur leur inventivité pour en tirer le meilleur parti (à leur avantage).
Sans oublier les nombreux bénéfices qu’apporte l’intelligence artificielle aux défendeurs, nous continuons de regarder avec attention le détournement de ces outils au profit des cyber criminels et restons vigilants pour protéger les internautes.