Le côté obscur de GenAI : implications stratégiques pour la défense cybernétique

L'essor des outils d'IA générative malveillants, tels que Evil-GPT, WolfGPT, DarkBard et PoisonGPT, présente des défis stratégiques substantiels pour les entreprises. Alors que les cybercriminels utilisent de plus en plus l'IA pour copiloter leurs opérations, les responsables de la sécurité de l'information (RSSI) et les leaders en matière de sécurité doivent trouver leur voie dans un paysage des menaces en constante évolution. Voici les principales implications dont les organisations doivent tenir compte :

1. Volume et rapidité des attaques

L'IA générative permet aux acteurs malveillants d'accroître considérablement l'étendue de leurs opérations. Les campagnes d'hameçonnage, qui exigeaient auparavant des jours de préparation, peuvent maintenant être générées massivement en quelques minutes, et chaque e-mail est adapté spécifiquement à sa cible. Cette automatisation peut submerger les défenses classiques, d'autant plus que les e-mails d'hameçonnage rédigés par l'IA éliminent souvent les signes révélateurs courants, tels que les erreurs grammaticales, ce qui complique leur identification par les utilisateurs. Les équipes de sécurité doivent s'attendre à une fréquence des attaques plus élevée, notamment à une augmentation des e-mails d'hameçonnage et des variantes de code malveillant, le tout boosté par la rapidité de l'IA.

2. Sophistication et leurres convaincants

La sophistication des attaques devrait également croître. Des outils comme DarkBard peuvent incorporer des informations en temps réel ou des détails personnels récupérés sur le Web dans les messages d'hameçonnage, ce qui les rend plus convaincants. « L'intégration de la technologie deepfake – annoncée par DarkBard et observée dans diverses escroqueries – signifie que l'hameçonnage vocal et les fausses vidéos peuvent cibler des organisations avec un réalisme alarmant. » Les entreprises doivent éduquer les utilisateurs quant au fait que les signaux d'alerte classiques de l'hameçonnage (langage approximatif, formules de politesse génériques, etc.) ne s'appliquent plus forcément, car la frontière entre les communications légitimes et le contenu généré par l'IA s'est estompée.

3. Personnalisation et capacités de contournement des malwares

Dans le domaine des malwares, les outils d'IA peuvent produire du code polymorphe ou impénétrable à la volée, comme le proclame WolfGPT. Ces capacités entraînent l'émergence de davantage de malwares zero-day, non pas en exploitant des vulnérabilités inconnues, mais en créant des signatures et des modèles que les produits de sécurité n'ont jamais rencontrés auparavant. Les solutions antivirus traditionnelles, basées sur des signatures, auront du mal à suivre, car chaque charge utile malveillante peut être légèrement modifiée par l'IA pour échapper à la détection. Par conséquent, la détection et la réponse aux terminaux (EDR) et les méthodes de détection basées sur le comportement deviennent encore plus cruciales pour détecter les menaces que l'analyse statique n'a peut-être pas repérées.

4. Réduction des obstacles à l'entrée

L'un des changements les plus importants dans le champ des cybermenaces est la démocratisation des outils de cybercriminalité. Les cybercriminels potentiels n'ont plus besoin de compétences avancées pour lancer des attaques crédibles ; il leur suffit de louer l'accès à une IA malveillante. Cette tendance pourrait conduire à un afflux d'acteurs malveillants moins qualifiés, qui mèneraient des attaques à l'efficacité disproportionnée par rapport à leur niveau de compétence. Par conséquent, le vivier des adversaires potentiels s'élargit ; il englobe non seulement le crime organisé et les États-nations, mais aussi des amateurs qui exploitent l'IA en tant que service.

5. Social engineering renforcé par l'IA

Outre les attaques numériques, l'IA malveillante peut dynamiser les tactiques de social engineering utilisées contre les organisations. Les premiers cas de clonage vocal par IA ont déjà été observés dans le cadre de fraudes, telles que les escroqueries par vishing, lorsqu'une voix générée par l'IA usurpe l'identité d'un PDG. À mesure que ces outils prolifèrent, toutes les opérations malveillantes, des escroqueries par téléphone aux faux chats de service client, peuvent être automatisées. Les équipes de sécurité doivent se préparer à affronter de nouveaux vecteurs d'attaque, tels que des chatbots optimisés par l'IA qui initient une opération de social engineering auprès du personnel d'un service d'assistance, en vue de réinitialiser des mots de passe ou d'effectuer des appels d'hameçonnage vocal en masse.

6. Désinformation et réputation de l'entreprise

Les effets des outils tels que PoisonGPT s'étendent aux campagnes de désinformation à l'intention des entreprises. Les fake news ou les vidéos deepfake générées par l'IA pourraient être utilisées pour manipuler le cours des actions en bourse, nuire à la réputation d'une marque ou influencer l'opinion publique contre une organisation. Elles gomment les frontières entre la cybersécurité et les relations publiques ou la gestion de crise traditionnelles. Les RSSI devront peut-être collaborer avec les équipes de communication pour suivre ces menaces et y répondre, car elles représentent une autre forme d'attaque contre l'entreprise, par le biais de canaux d'information.

7. IA défensive et IA contre IA

Sur une note plus positive, l'essor de l'IA malveillante va de pair avec le développement de l'IA à des fins défensives. Les fournisseurs de solutions de sécurité développent des filtres pilotés par l'IA, capables d'identifier les e-mails d'hameçonnage générés par l'IA ou les modèles de code malveillant. Par exemple, les passerelles de sécurité des e-mails avancées utilisent désormais des modèles d'apprentissage automatique, formés pour détecter les signatures subtiles d'un texte rédigé par l'IA, telles qu'un langage trop affecté ou des indices de formatage spécifiques, afin de bloquer les messages concernés. De même, les outils de sécurité du codage explorent des moyens de signaler la présence de code qui semble généré par l'IA ou qui correspond à des schémas de sortie connus de l'IA. Cela crée une « course à l'armement » entre IA et IA : à mesure que les pirates utiliseront l'IA pour améliorer leurs attaques, les défenseurs agiront pareillement pour détecter les anomalies et s'adapter rapidement. Toutefois, cette défense introduit de nouveaux défis, notamment celui des faux positifs ainsi que la nécessité de disposer d'analystes compétents pour interpréter les alertes pilotées par l'IA.

Conclusion

En résumé, l'émergence de l'IA générative malveillante a accéléré le cycle d'attaque et a élargi sa portée – les entreprises doivent faire face à un volume plus élevé de menaces, d'une sophistication accrue. Les organisations doivent ajuster leurs stratégies en matière de technologie et de formation pour tenir compte des adversaires renforcés par l'IA.

Le terrain de jeu sur lequel s'affrontent pirates et défenseurs est en train de changer, et il est impératif que les responsables de la sécurité adaptent leurs stratégies et soient proactifs en matière de défense, face à ces menaces en évolution constante. Clairement, il est essentiel de comprendre ces outils et leurs implications afin de se protéger contre la vague croissante de cybercriminalité optimisée par l'IA. Dans le prochain et dernier article de blog de cette série, nous émettrons des recommandations concernant la manière dont les responsables de la sécurité peuvent développer une approche pluridimensionnelle pour se défendre contre ces types de menaces.