L'émergence de l'intelligence artificielle générative a dessiné un nouveau paysage pour la cybersécurité. Si cette avancée promet de repousser les limites de l'innovation, elle révèle aussi des zones d'ombre inexplorées.
Par K. Aourmi
Dans un monde où la technologie évolue à une vitesse fulgurante, l'intelligence artificielle (IA) tient le rôle de protagoniste principal de cette transformation. Pourtant, avec l'ascension de l'IA générative, le scénario change. Si cette technologie promet des innovations révolutionnaires, elle sème également des embûches inédites sur la route de la cybersécurité. Face à ces défis croissants, les géants technologiques ne restent pas inactifs. Le 26 octobre 2023, dans une démarche proactive, le géant des big tech a décidé d'étendre son programme de bug bounty. Cette extension cible spécifiquement les attaques associées à l'IA générative. Ce geste traduit une reconnaissance du potentiel révolutionnaire de cette technologie, mais aussi des préoccupations qu'elle soulève en matière de sécurité numérique.
Le but ultime ? Inciter les hackers éthiques à identifier davantage de vulnérabilités, contribuant ainsi à rendre l'IA plus sûre. Dans ce contexte, Google a constitué une «AI Red Team». Ce groupe, récemment mis sur pied, s'est attelé à identifier les principales menaces associées aux produits d'IA générative comme ChatGPT et Google Bard. Leur analyse a révélé que les grands modèles de langage (LLM) sont particulièrement vulnérables aux attaques par injection d'invite (Prompt Injection Attack). Ces attaques permettent à un cybercriminel de manipuler le modèle, le faisant soit ignorer des instructions précédentes, soit exécuter des actions non souhaitées. Au cœur de ces défis, le phishing, ce mal persistant du cybermonde, trouve une nouvelle vigueur. Jadis, des indices, tels qu'une grammaire incorrecte ou des scénarios irréalistes, permettaient souvent de détecter ces tentatives.
Cependant, les temps changent. Aujourd'hui, 85% des responsables de la cybersécurité estiment que l'augmentation des cyberattaques est due aux fraudeurs utilisant l'IA générative. Ces outils avancés d'IA, tels que ChatGPT, confèrent aux cybercriminels la capacité de produire des contenus hautement personnalisés, rendant leurs attaques presque invisibles. En 2022, une recrudescence alarmante a été observée dans les cyberattaques, avec une augmentation de 38%. En parallèle, une entreprise moyenne est confrontée à 700 attaques de social engineering chaque année, dont 57 visent spécifiquement le PDG.
L'IA générative et ses implications en matière de sécurité
Des outils comme ChatGPT peuvent s'avérer précieux pour diverses applications. Néanmoins, leur potentiel est aussi exploité pour élaborer des campagnes de phishing de plus en plus sophistiquées. L'apparition d'outils tels que FraudGPT et WormGPT, disponibles sur le dark web, complique davantage la tâche de détection. Ils sont en mesure de concevoir des e-mails remarquablement crédibles et peuvent même créer des sites web qui imitent à la perfection des organisations reconnues. La montée rapide des outils d'IA générative n'a pas échappé à l'attention d'Elon Musk.
Selon de récents rapports, le magnat de la technologie travaille sur «TruthGPT», une IA axée sur la recherche de la «vérité maximale». Cette initiative vise à créer une alternative à ChatGPT, avec une focalisation sur la compréhension profonde de l'univers. Musk postule qu'une IA cherchant à comprendre l'univers ne poserait pas de menace pour l'humanité, car les humains sont une partie intégrante et fascinante de cet univers.
La démarche de Musk n'est pas isolée. Il a fondé X.AI, une entreprise axée sur l'IA basée au Nevada. Cette entité semble prête à rivaliser avec OpenAI et son produit phare, ChatGPT. Intéressant de noter que Musk est co-fondateur d'OpenAI, montrant ainsi son engagement profond et sa vision du potentiel et des défis de l'IA générative. Des voix s'élèvent pour suggérer une approche consistant à utiliser l'IA pour contrer les menaces émanant de l'IA. Bien que séduisante en théorie, cette approche pourrait déclencher une course aux armements technologiques.
Dans cette équation complexe, il est crucial de noter que 74% des violations proviennent d'erreurs humaines ou de problèmes liés à l'usage d'identifiants. La sécurité, en réalité, ne se résume pas seulement à la détection de tentatives de phishing. Par conséquent, la nécessité de repenser l'authentification devient évidente. Les passkeys représentent une des solutions émergentes. Avec cette méthode, même si un individu est trompé par une attaque de phishing, l'absence d'identifiant à fournir empêche la compromission. Toutefois, la menace croissante de l'IA générative nécessite une réponse adaptée.
La technologie, bien que source de nouveaux défis, recèle aussi des opportunités d'innovation. En associant l'adoption de nouvelles méthodes d'authentification à une formation continue et à une sensibilisation accrue, l'avenir de la cybersécurité peut être assuré.