Le champ de bataille
Ce qui a commencé comme un enthousiasme autour des capacités de l’IA générative s’est rapidement transformé en inquiétude. Les outils d’IA générative tels que ChatGPT, Google Bard, Dall-E, etc. continuent de faire les gros titres en raison de problèmes de sécurité et de confidentialité. Cela conduit même à s’interroger sur ce qui est réel et ce qui ne l’est pas. L’IA générative peut produire un contenu hautement plausible et donc convaincant. À tel point qu’à la fin d’un récent segment de 60 minutes sur l’IA, l’animateur Scott Pelley a laissé aux téléspectateurs cette déclaration; « Nous terminerons par une note qui n’est jamais apparue sur 60 Minutes, mais une, dans la révolution de l’IA, que vous entendez peut-être souvent : la précédente a été créée avec un contenu 100 % humain. »
La cyberguerre de l’IA générative commence avec ce contenu convaincant et réel et le champ de bataille est l’endroit où les pirates exploitent l’IA générative, en utilisant des outils tels que ChatGPT, etc. C’est extrêmement facile pour les cybercriminels, en particulier ceux qui ont des ressources limitées et aucune connaissance technique, pour commettre leurs crimes par le biais d’attaques d’ingénierie sociale, de phishing et d’usurpation d’identité.
La menace
L’IA générative a le pouvoir d’alimenter des cyberattaques de plus en plus sophistiquées.
Étant donné que la technologie peut produire facilement un contenu aussi convaincant et humain, les nouvelles cyberarnaques utilisant l’IA sont plus difficiles à repérer pour les équipes de sécurité. Les escroqueries générées par l’IA peuvent prendre la forme d’attaques d’ingénierie sociale telles que des attaques de phishing multicanal menées sur des applications de messagerie et de messagerie. Un exemple concret pourrait être un e-mail ou un message contenant un document envoyé à un dirigeant d’entreprise par un fournisseur tiers via Outlook (e-mail) ou Slack (application de messagerie). L’e-mail ou le message leur demande de cliquer dessus pour afficher une facture. Avec l’IA générative, il peut être presque impossible de faire la distinction entre un faux e-mail ou un vrai message. C’est pourquoi c’est si dangereux.
L’un des exemples les plus alarmants, cependant, est qu’avec l’IA générative, les cybercriminels peuvent produire des attaques dans plusieurs langues, que le pirate parle ou non la langue. L’objectif est d’élargir le réseau et les cybercriminels ne discrimineront pas les victimes en fonction de la langue.
L’avancement de l’IA générative signale que l’ampleur et l’efficacité de ces attaques continueront d’augmenter.
La défense
La cyberdéfense pour l’IA générative est notoirement la pièce manquante du puzzle. Jusqu’ici. En utilisant le combat de machine à machine ou en associant l’IA à l’IA, nous pouvons nous défendre contre cette nouvelle menace croissante. Mais comment définir cette stratégie et à quoi ressemble-t-elle ?
Premièrement, l’industrie doit agir pour épingler l’ordinateur contre l’ordinateur au lieu de l’homme contre l’ordinateur. Pour donner suite à cet effort, nous devons envisager des plates-formes de détection avancées capables de détecter les menaces générées par l’IA, de réduire le temps nécessaire au signalement et le temps nécessaire pour résoudre une attaque d’ingénierie sociale provenant de l’IA générative. Chose qu’un humain est incapable de faire.
Nous avons récemment effectué un test de ce à quoi cela peut ressembler. Nous avons demandé à ChatGPT de préparer un e-mail de phishing de rappel basé sur la langue dans plusieurs langues pour voir si une plate-forme de compréhension du langage naturel ou une plate-forme de détection avancée pouvait le détecter. Nous avons donné l’invite à ChatGPT : « rédigez un e-mail urgent demandant à quelqu’un d’appeler au sujet d’un avis final sur un contrat de licence de logiciel ». Nous lui avons également ordonné de l’écrire en anglais et en japonais.
La plate-forme de détection avancée a immédiatement été en mesure de signaler les e-mails comme une attaque d’ingénierie sociale. MAIS, les contrôles de messagerie natifs tels que la plate-forme de détection de phishing d’Outlook ne le pouvaient pas. Même avant la sortie de ChatGPT, l’ingénierie sociale effectuée via des attaques conversationnelles basées sur le langage s’est avérée efficace car elle pouvait esquiver les contrôles traditionnels, atterrissant dans des boîtes de réception sans lien ni charge utile. Alors oui, il faut un combat machine contre machine pour se défendre, mais nous devons également être sûrs que nous utilisons une artillerie efficace, comme une plate-forme de détection avancée. Toute personne disposant de ces outils a un avantage dans la lutte contre l’IA générative.
En ce qui concerne l’ampleur et la plausibilité des attaques d’ingénierie sociale offertes par ChatGPT et d’autres formes d’IA générative, la défense de machine à machine peut également être affinée. Par exemple, cette défense peut être déployée en plusieurs langues. Il ne doit pas non plus être limité à la sécurité des e-mails, mais peut être utilisé pour d’autres canaux de communication tels que des applications telles que Slack, WhatsApp, Teams, etc.
Restez vigilant
En parcourant LinkedIn, l’un de nos employés est tombé sur une tentative d’ingénierie sociale de l’IA générative. Une étrange annonce de téléchargement de « livre blanc » est apparue avec ce qui ne peut être décrit généreusement que comme une création publicitaire « bizarro ». En y regardant de plus près, l’employé a vu un motif de couleur révélateur dans le coin inférieur droit apposé sur les images produites par Dall-E, un modèle d’IA qui génère des images à partir d’invites textuelles.
Rencontrer cette fausse publicité LinkedIn a été un rappel significatif des nouveaux dangers d’ingénierie sociale qui apparaissent maintenant lorsqu’ils sont associés à l’IA générative. Il est plus critique que jamais d’être vigilant et méfiant.
L’ère de l’IA générative utilisée pour la cybercriminalité est arrivée, et nous devons rester vigilants et être prêts à riposter avec tous les outils à notre disposition.