L’intelligence artificielle générative fait actuellement beaucoup parler d’elle. Mais qu’en est-il de la cybersécurité? La cyberdéfense va-t-elle être inondée d’une vague d’attaques basées sur l’IA, ou est-ce que tout cela n’est qu’une crainte infondée? Un spécialiste fait le point.
Texte: Andreas Heer, Image: Swisscom, Date: 29 avril 2024 4 Min.
L’intérêt pour l’intelligence artificielle générative (IA générative) est immense. Il en va de même pour les opportunités qu’elle fait miroiter. Bien sûr, la cybercriminalité organisée s’intéresse elle aussi aux possibilités offertes par les grands modèles linguistiques (LLM) comme GPT, Llama, Mistral ou encore Claude. Les entreprises vont-elles être submergées par un flot de cyberattaques pilotées par l’IA, ou tout cela n’est-il qu’une crainte infondée?
«Nous avons effectivement déjà vu des attaques concrètes», déclare Florian Leibenzeder, responsable technique du Security Operations Center de Swisscom. À titre d’exemple, il cite l’évaluation et la poursuite possibles des flux d’e-mails par un LLM pour des actions de phishing ciblées après une compromission d’e-mails d’entreprise. «Quand un e-mail ressemble à celui de l’interlocuteur et qu’il s’inscrit dans le contexte de la discussion», continue-t-il, «cela incite évidemment beaucoup plus les destinataires à cliquer sur un lien.»
Bien entendu, des scénarios dans lesquels l’IA générative est utilisée directement pour les attaques sont envisageables. Des agents d’IA qui, après avoir été entraînés, attaquent et compromettent eux-mêmes des sites Internet avec les informations correspondantes sont tout à fait réalisables. Mais jusqu’à présent seulement en théorie, comme le montrent des chercheurs de l’Université de l’Illinois dans une publication(ouvre une nouvelle fenêtre).
«Chez Swisscom, nous n’avons jusqu’à présent rencontré aucune attaque concrète ayant clairement recouru à l’IA, hormis le phishing», relativise le spécialiste. «Mais j’imagine bien que l’IA est de plus en plus utilisée pour préparer des attaques, par exemple pour évaluer les fichiers journaux d’un scanner de vulnérabilité ou pour analyser les points faibles du code source d’un logiciel.» Selon lui, un scénario possible est l’analyse des smart contracts dans l’environnement de la blockchain afin d’identifier les points faibles qui pourront ensuite être exploités pour voler des cryptomonnaies.
Découvrez les dernières tendances de la cybersécurité et les menaces associées.
Si la préparation automatisée des attaques permet de réduire l’effort à fournir, le nombre de cyberattaques va-t-il augmenter? Florian Leibenzeder se veut rassurant: «Les cybercriminels se sont tellement professionnalisés que les services liés aux différentes étapes de l’attaque sont aujourd’hui relativement abordables, par exemple les initial access brokers ou le Ransomware as a Service.» En d’autres termes, l’obstacle à la réalisation de projets malveillants est déjà faible aujourd’hui et ne sera pas abaissé de manière décisive par l’IA.
Néanmoins, le World Economic Forum(ouvre une nouvelle fenêtre) prévoit que l’intelligence artificielle aura une influence considérable sur les cyberattaques. Les assaillants disposeraient d’informations plus nombreuses et plus fiables sur leurs cibles, ce qui leur permettrait de lancer des attaques sur mesure, par exemple via le phishing ou les deepfakes. En clair, le nombre d’attaques utilisant l’IA n’augmente peut-être pas, mais que la «qualité» s’améliore grâce à une meilleure personnalisation.
L’apprentissage automatique et l’IA générative jouent également un rôle croissant dans la défense et la détection des cyberattaques. Florian Leibenzeder prend pour exemple le code masqué («obfuscated code») d’un malware: «Alors que les assaillants utilisent l’IA pour masquer le code et rendre sa détection plus difficile, les défenseurs peuvent recourir aux mêmes méthodes pour analyser le code et comprendre son fonctionnement.»
La reconnaissance algorithmique des grands modèles de langage soulage également la cyberdéfense des tâches fastidieuses, par exemple l’identification des différentes phases d’une cyberattaque lors d’un incident majeur. «L’IA peut aider à placer les alertes et les événements des différents fichiers journaux sur un axe temporel et à décrire ce qui s’est passé.» Cette transparence permet aux spécialistes de la cybersécurité de réagir de manière ciblée et efficace à un incident. Parallèlement, les outils d’IA, dans leur fonction d’«assistants de sécurité», aident à rédiger un résumé de l’incident à l’attention de la direction.
Les scénarios d’attaque et les menaces dues à l’IA sont déjà intégrés dans les cadres de cybersécurité courants tels que MITRE ATT&CK et OWASP.
Pour l’instant, l’intelligence artificielle ne devrait donc pas bouleverser complètement la cybersécurité, mais plutôt marquer un nouveau cap dans la compétition perpétuelle entre les assaillants et les spécialistes de la cybersécurité. «Il est important que les défenseurs abordent la nouvelle technologie aussi ouvertement et activement que les assaillants», explique Florian Leibenzeder. «La cyberdéfense doit apprendre à comprendre comment utiliser les nouvelles techniques d’attaque et comment s’en défendre.»
Les spécialistes doivent donc rester dans la course et élargir leurs connaissances en conséquence. De manière générale, le WEF conseille aux entreprises de prendre davantage en compte la chaîne d’approvisionnement dans leur stratégie de cybersécurité. Et de sensibiliser leur personnel. Avec l’émergence de l’intelligence artificielle, l’intelligence humaine gagne également en importance sous la forme d’une sensibilisation accrue à la sécurité.