Que représente l’IA générative pour la cybersécurité?

© Getty Images
Els Bellens

Dans le cas de toute nouvelle technologie, on craint rapidement qu’elle présente non seulement des avantages pour les entreprises, mais aussi qu’elle puisse rendre la vie plus difficile aux firmes de sécurité. L’IA générative ne fait pas exception.

‘Là où des personnes et des organisations perdent généralement le plus d’argent, c’est à cause de toutes sortes de fraude: ingénierie sociale, phishing (hameçonnage), pig butchering (escroquerie à grande échelle à la crypto-monnaie), romance scams (escroqueries amoureuses), etc.’, a déclaré Shannon Murphy, global security and risk strategist chez Trend Micro. Elle a prononcé son discours lors de l’événement Risk to Resilience à Anvers. Et cette fraude évolue avec la technologie. Murphy considère du reste l’IA générative principalement comme impactant le phishing.

Courriels

C’est ainsi qu’une technologie telle que ChatGPT permet d’envoyer plus rapidement et plus facilement un courriel frauduleux crédible. Pensez notamment aux courriels massifs envoyés par des princes nigérians, ou aux mails de phishing déguisés en messages de coursier. En fonction de la qualité, ils sont généralement cliqués par des personnes qui ne maîtrisent pas vraiment le domaine technologique. ‘Avant l’existence de grands modèles de langage, on pouvait former les gens à remarquer si le texte du mail était un peu bizarre, si le domaine était erroné, etc.’, a expliqué Murphy. Mais avec un service spécialement conçu pour imiter des textes humains, cela devient beaucoup plus difficile. ‘Si vous êtes un hacker russe par exemple, ce n’est plus un problème que vous ne parliez pas bien anglais. Vous rédigerez alors des courriels frauduleux beaucoup plus efficacement et mieux grâce à l’IA générative.’

Murphy fait observer qu’un agresseur n’a même pas besoin d’une forme illégale de ces outils. ‘Vous n’avez pas besoin de ‘DarkGPT’ pour cela, vous pouvez simplement faire rédiger à votre intention un tel courriel gratuitement sur le web classique.’ Cela signifie que la formation au phishing doit également changer. ‘Vous ne pourrez plus imputer la faute aux victimes, mais vous devrez vous fier davantage à la technologie pour détecter plus rapidement ce type de mails.’

‘Grâce à cette qualité améliorée, l’écart entre ce type de ‘phishing’ (hameçonnage) et le ‘spear phishing’ (harponnage) se réduit’, a encore affirmé Shannon Murphy. Le spear phishing, c’est une forme de phishing plus exigeante en main-d’œuvre, avec laquelle les agresseurs tentent souvent de piéger des employés spécifiques d’une entreprise avec des sujets susceptibles de les intéresser.

Hyper-trucages

Cependant, ce qui fait encore plus appel à l’imagination, c’est l’utilisation de ‘deepfakes’ (hyper-trucages) à des fins frauduleuses. ‘Ici aussi, vous pouvez simplement utiliser des outils légaux’, a précisé Murphy. Avec les deepfakes, vous créez un clone crédible de la voix ou des images vidéo d’une personne, par exemple du CEO d’une entreprise. Vous pouvez ensuite lui faire dire ce que vous voulez. En politique, ce type de technologie peut être utilisé pour nuire à la réputation, et dans le monde des entreprises pour frauder. Supposez par exemple que vous receviez un appel téléphonique et que la voix du ‘CFO’ vous demande d’effectuer rapidement un virement.

‘Nos processus doivent par conséquent être adaptés. Entre autres autour de l’approbation de transactions financières. Si vous vous trouvez dans le même bureau, il est utile d’effectuer un double contrôle. Or de nombreuses personnes travaillent à domicile ou pour une multinationale ayant des bureaux dans différents pays’, a encore déclaré Murphy. ‘Vous devez donc vous assurer que vous disposez bien d’une liste des personnes concernées, de préférence plusieurs, qui doivent l’approuver. Vous pouvez même travailler avec des termes codés pour montrer que c’est bien vous. La plupart des moyens de lutter contre ce type de cybercriminalité ne sont pas de nature technologique, mais portent sur des processus et sur la culture interne. ‘Vous devez également vous assurer que vos collègues se sentent suffisamment à l’aise pour dire s’ils ne font pas confiance à un courrier électronique.’

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire