L’intelligence artificielle, nouvelle boîte à outils pour pirates informatiques

Accessibles depuis près d’un an au grand public, les chatbots et logiciels de trucage dopés à l’intelligence artificielle (IA) sont susceptibles de faciliter la tâche des cybercriminels et des petits escrocs en ligne, sans toutefois bouleverser le schéma classique des attaques informatiques.

De meilleurs hameçons pour le « phishing »

La pratique du « phishing » (hameçonnage) consiste à contacter une cible pour lui faire entrer ses identifiants sur un site pirate imitant une page légitime.

En permettant de générer des e-mails convaincants, sans faute d’orthographe ou de grammaire, « l’IA facilite et permet une accélération du rythme des attaques », explique à l’AFP Gerome Billois, expert en cybersécurité du cabinet Wavestone et auteur de « Cyberattaques, les dessous d’une menace mondiale » (Hachette, 2022).

Via des forums en ligne ou des messageries privées, les pirates s’échangent ainsi des « prompts », ces modes d’emploi pour générer automatiquement des messages frauduleux de plus en plus ciblés.

Et pour s’affranchir des limitations mises en place par les fournisseurs de solutions d’IA, certains groupes commercialisent depuis cet été des modèles de langage entraînés spécifiquement pour produire des contenus malveillants, comme FraudGPT. Leur efficacité reste encore à démontrer, mais « on n’en est qu’au tout début », prévient Gerome Billois.

Risque d’une fuite de données

Selon une étude récente du cabinet Gartner, l’IA générative figure parmi les cinq principales menaces émergentes citées par les entreprises. Celles-ci craignent notamment la fuite de données sensibles partagées par leurs propres employés, raison pour laquelle Samsung, Apple ou Amazon ont bloqué l’application ChatGPT au sein de leur réseau professionnel.

« Toute information saisie dans un outil d’intelligence artificielle générative peut intégrer son corpus d’apprentissage. Cela signifie que des informations sensibles ou confidentielles pourraient se retrouver dans les résultats pour d’autres utilisateurs », imagine Ran Xu, directrice de la recherche de Gartner.

Souhaitant rassurer les entreprises, OpenAI a lancé en août ChatGPT Enterprise, une version professionnelle de son robot qui n’utilise pas les conversations pour son entraînement. Google recommande pour sa part de ne pas entrer d’informations confidentielles ou sensibles dans son propre chatbot, Bard.

Attaque des clones

La principale nouvelle menace de l’IA est la facilité avec laquelle il est désormais possible de copier un visage ou une voix. A partir d’un enregistrement de quelques secondes d’une personne, des outils en ligne peuvent produire une imitation pouvant piéger des collaborateurs ou des proches.

Pour Jérôme Saiz, fondateur de la société OPFOR Intelligence, ces outils risquent d’être rapidement utilisés par « toute une industrie de petits escrocs, très bien établie en France et souvent à l’origine des campagnes de SMS malveillants » pour extorquer des numéros de cartes bancaires.

« Ces petits délinquants, souvent jeunes, vont assez facilement être capables d’imiter les voix », explique-t-il à l’AFP.

En juin, une mère de famille américaine avait raconté avoir été la cible d’une tentative d’arnaque, lorsqu’un homme l’avait appelé pour lui demander une rançon en lui faisant entendre l’appel à l’aide de sa fille victime d’un supposé enlèvement. L’incident s’était terminé sans dommages, après que la police a soupçonné une escroquerie utilisant l’IA.

Pour les entreprises déjà sensibilisées à « l’arnaque au président », où des escrocs se font passer pour le PDG afin de se faire virer une somme d’argent, « l’utilisation d’un audio ou d’un extrait de vidéoconférence truqué peut faire pencher le cours des événements en faveur du cybercriminel », selon M. Billois.

. Tuteur virtuel pour pirate débutant

Selon les constatations de Jérôme Saiz, « rien n’a pu laisser penser, dans les attaques qui ont réussi depuis un an, que celles-ci avaient été produites par une IA générative ».

Les chatbots sont certes capables d’identifier certaines failles et de générer des morceaux de code malveillant mais pas de l’exécuter directement. Pour lui, l’IA « va permettre à des personnes pas très douées de monter en compétence mais quelqu’un qui part de zéro ne va pas se faire coder un malware par ChatGPT ».

• À propos
• Articles récents

Suivez nous:

LA REDACTION DE FRENCHWEB.FR

Pour nous contacter, nous vous avons préparé un petit formulaire pour bien gérer votre demande et pouvoir l'adresser en toute confidentialité. Cliquez ici pour y accéder

Suivez nous:

Les derniers articles par LA REDACTION DE FRENCHWEB.FR (tout voir)

• Microsoft et la sécurité / Liquidation judiciaire pour SFAM / Buildrz se fait racheter par le hollandais… - 26/04/2024
• Le fabuleux destin de Kabosu, chienne star d’internet et emblème du dogecoin - 26/04/2024
• BELIEVE veut croire en une croissance rentable pour 2024 / FLEX AI sort de l’ombre / Comment un fonds de capital-risque gagne-t-il de l’argent ? - 25/04/2024