38 millions d’euros, c’est le montant record dérobé par des escrocs à un promoteur immobilier parisien par le biais de techniques de social engineering via téléphone et email. On pourrait d’abord penser que la victime a fait preuve d’un manque de discernement, mais les cybercriminels ne laissent rien au hasard et sont prêts à tout pour arriver à leurs fins. Prenons maintenant le scénario suivant : vous recevez un email de votre PDG vous demandant de lui transmettre des informations sensibles. Le message reprend son vocabulaire habituel et fait même référence à son chien au détour d’une blague. C’est précis, fidèle, et très convaincant. Le problème ? Il a été conçu par une IA générative à partir d’informations qu’un cybercriminel a trouvées sur les réseaux sociaux.

L’émergence de ChatGPT a placé l’IA au centre de l’attention et, par la même occasion, suscité de vives inquiétudes quant à ses implications en matière de cyberdéfense. Quelques semaines après son lancement, des chercheurs ont pu démontrer que ChatGPT est capable de rédiger des emails de phishing, créer du code malveillant et expliquer comment incorporer des logiciels malveillants dans des documents.

Pour ne rien arranger, ChatGPT n’est pas le premier chatbot à arriver sur le marché, ni le dernier. Rien que la semaine dernière, Google et Baidu se sont lancés dans l’aventure. Mais alors que les géants de la technologie se bousculent pour créer la meilleure IA générative, quelles en seront les conséquences pour l’avenir de la cyberdéfense ?

Le déficit de compétence reste un obstacle pour les cybercriminels

L’un des premiers débats soulevés par ChatGPT est celui de la cybersécurité : les cybercriminels pourraient-ils utiliser ChatGPT ou d’autres IA génératives pour améliorer leurs campagnes d’attaque ? Pourraient-ils ainsi rendre plus facile le passage à l’acte pour les aspirants hackers ?

ChatGPT est un outil puissant, et ses nombreux cas d’usage peuvent aider ses utilisateurs à devenir plus efficaces, à agréger des connaissances et à automatiser des tâches simples.

Cela dit, l’IA générative n’est pas encore la solution miracle ; elle a ses limites. Pour commencer, elle ne maîtrise que ce sur quoi elle a été entraînée et requiert d’être entraînée en permanence. Par ailleurs, les données à partir desquelles l’IA a été entraînée posent question. Les universités et les médias s’inquiètent déjà du risque de plagiat et de désinformation assistés par l’IA. Par conséquent, les humains doivent souvent vérifier les résultats obtenus par ChatGPT. Or, il est parfois difficile de savoir si le contenu a été inventé ou si les résultats sont basés sur des informations fiables.

Il en va de même pour l’IA générative appliquée aux cybermenaces. Si un criminel voulait écrire un logiciel malveillant, il devrait toujours guider ChatGPT pour le créer, puis vérifier que le logiciel fonctionne. Un cybercriminel aurait encore besoin de certaines connaissances préalables sur les campagnes d’attaque pour l’utiliser efficacement ; ce qui signifie que les compétences requises pour élaborer des techniques d’attaques sont encore un obstacle pour des débutants. Il est toutefois possible de recourir à l’IA pour des choses plus simples, comme créer des e-mails de phishing crédibles.

Les attaques basées sur l’IA générative privilégient la qualité à la quantité

La crainte que ChatGPT provoque une augmentation du nombre de cyberattaques visant les entreprises est-elle fondée ? Comme souvent, la réalité diffère un peu des discours.

Si le nombre d’attaques par email n’a pratiquement pas changé depuis le lancement de ChatGPT, le nombre d’e-mails de phishing cherchant à inciter la victime à cliquer sur un lien frauduleux a en fait diminué de 22 % à 14 %. Cependant, la complexité linguistique moyenne des e-mails de phishing a augmenté de 17 %.

Bien entendu, corrélation n’est pas synonyme de causalité, mais il est tout à fait possible que ChatGPT permette aux cybercriminels de réorienter leurs activités. Plutôt que de multiplier les attaques par e-mail en y ajoutant des liens frauduleux ou des malwares, les criminels peuvent espérer un meilleur retour sur investissement en mettant au point des escroqueries sophistiquées qui exploitent la confiance de leurs victimes et demandent à celles-ci de mener des actions spécifiques : demander aux RH de modifier les coordonnées de paiement du salaire du PDG afin de le verser sur un autre compte bancaire contrôlé par un pirate.

Revenons à l’hypothèse posée en introduction : il ne faudrait que quelques minutes à un cybercriminel pour récupérer des informations sur une victime potentielle à partir de ses réseaux sociaux et demander à ChatGPT de créer un e-mail. En quelques secondes, ce criminel disposerait d’un mail de phishing crédible, bien écrit et contextualisé, prêt à être envoyé.

Un avenir où les machines se battent contre les machines

La course à l’IA générative va pousser les géants de la tech à vouloir commercialiser l’IA la plus précise, la plus rapide et la plus crédible. Et il est inévitable que les cybercriminels exploitent cette innovation à leur profit. Le recours à l’intelligence artificielle (qui permet également d’intégrer des données audio et vidéo falsifiées) facilitera la tâche des criminels qui pourront lancer des attaques sur mesure, plus rapides et plus efficaces.

Pour les équipes de sécurité chargées de protéger leurs collaborateurs, leurs infrastructures et leur propriété intellectuelle, il sera indispensable de recourir à une cyberdéfense basée sur l’IA. L’IA auto-apprenante sait identifier et contenir des attaques subtiles grâce à une connaissance approfondie des utilisateurs et des appareils au sein des organisations qu’elle protège. En apprenant de ces schémas de vie, elle développe une compréhension globale de ce qui est normal pour les utilisateurs dans le contexte réel des données échangées quotidiennement. En d’autres termes, le meilleur moyen d’arrêter les attaques hyper-personnalisées alimentées par l’IA est de disposer d’une IA qui en sait encore plus sur votre entreprise qu’une générative ne le pourrait.

De toute évidence, la généralisation de l’IA générative va à terme nous mener vers une guerre des algorithmes, opposant des machines à d’autres machines. Le moment est donc venu pour les équipes de sécurité d’introduire l’IA dans leur panoplie d’outils de cybersécurité.