Le Mois de la sensibilisation à la cybersécurité n’a peut-être pas le même attrait que les autres caractéristiques du mois d’octobre – contempler le feuillage bruni ou se gaver de bonbons d’Halloween – mais il peut inciter les dirigeants d’entreprise et les consommateurs à s’engager dans un rituel important : réévaluer leur approche de la cybersécurité.

Et il y a beaucoup de choses à réfléchir au cours de l’année écoulée. Les entreprises en particulier devraient se demander ce mois-ci (et tous les mois) : Comment le paysage des menaces en ligne a-t-il changé ? Et les pratiques de sécurité de votre entreprise sont-elles suffisantes pour suivre le rythme de ces changements ?

L’intelligence artificielle a indéniablement changé la donne cette année. Les outils d’IA, y compris les grands modèles de langage (LLM) tels que ChatGPT, ont boosté les capacités des attaquants. Pendant ce temps, un nombre croissant d’entreprises intègrent l’IA dans leurs activités quotidiennes, poussant les professionnels de la cybersécurité à garder de nouvelles frontières sans beaucoup de précédents sur la façon de le faire. Les consommateurs, quant à eux, sont pris au milieu de cet environnement d’IA en évolution rapide.

C’est exactement cette dynamique qui occupait l’esprit d’une grande partie des 20 000 participants à la conférence Black Hat de cette année à Las Vegas. Qu’il s’agisse des stands éclaboussants sur le sol du hall d’affaires, des recherches de pointe présentées lors des discussions ou des discussions discrètes entre les deux, l’IA a dominé la conversation.

Lors de la keynote d’ouverture de l’événement, Mikko Hyppönen, chercheur de longue date en cybersécurité, a qualifié l’IA de « plus grande révolution technique » qu’il ait vue dans sa vie, notant que les chercheurs utilisant des LLM ont déjà découvert quelques dizaines de zero days – un terme de l’industrie pour désigner une faiblesse non détectée dans un logiciel ou un code.

« Lorsque les chercheurs trouvent des vulnérabilités de sécurité avec l’IA, c’est formidable car nous pouvons les corriger », a déclaré Hyppönen. « Quand les attaquants font la même chose, c’est horrible. Cela va arriver aussi.

Les escrocs en ligne utilisent déjà les LLM pour rédiger des e-mails de phishing plus convaincants et ciblés, et ce, à une échelle beaucoup plus grande qu’ils n’auraient jamais pu le faire sans outils d’IA.

L’époque des e-mails génériques mal écrits que même la personne la moins férue de technologie pouvait considérer comme des escroqueries est révolue. Les escrocs non anglophones sont désormais des pros pour peaufiner leurs messages avec des LLM.

Et même ces escrocs qui se font passer pour des soldats solitaires stationnés à l’étranger, poussant une opportunité commerciale qui semble trop belle pour être vraie (car c’est le cas), saupoudrent de détails personnels exploités par l’IA pour rendre ces messages beaucoup plus crédibles.

Ils sont également allés au-delà du courrier électronique, en diffusant leurs communications désormais bien conçues sur les réseaux sociaux, par SMS et même par téléphone.

Dans le même temps, il y a eu une augmentation des messages frauduleux contenant des deepfakes audio ou vidéo. L’année dernière, un travailleur de Hong Kong a été dupé en payant 25 millions de dollars à des fraudeurs après avoir signé ce qu’il pensait être un appel vidéo avec des responsables de sa multinationale, y compris le directeur financier. Mais il s’est avéré que les autres participants à l’appel étaient des recréations en direct de ces personnes.

Les consommateurs ont également été ciblés par des escroqueries audio deepfake. C’est là que les cybercriminels utilisent l’IA pour truquer les voix de personnes, généralement plus jeunes, puis utilisent la voix imitée pour appeler les membres de la famille, disant qu’ils ont été kidnappés ou qu’ils sont en prison, afin de leur extorquer de l’argent.

Tout cela effraie les entreprises et les consommateurs, à juste titre. Une étude récente menée pour Mastercard a interrogé environ 13 000 consommateurs dans le monde, dont environ 1 000 aux États-Unis, et a révélé que le faux contenu généré par l’IA est la principale préoccupation future des consommateurs en matière d’escroquerie. Mais seulement 13 % des personnes interrogées ont déclaré être très confiantes dans leur capacité à identifier les menaces ou les escroqueries générées par l’IA si elles sont ciblées par celles-ci.

La grande majorité des personnes interrogées ont spécifiquement cité des inquiétudes concernant des attaques plus sophistiquées provenant de systèmes d’IA piratés et devenus malveillants, des cyberattaques automatisées à grande échelle et des e-mails d’hameçonnage plus convaincants créés par l’IA.

Et les consommateurs inquiets peuvent signifier de gros problèmes pour les entreprises qui les servent. Si les consommateurs ne peuvent pas croire qu’ils font affaire avec une entreprise légitime ou que leurs informations personnelles sont en sécurité, ils peuvent choisir de faire affaire ailleurs.  

Pour l’instant, du moins, il semble que les défenseurs aient l’avantage. En plus de sécuriser les nouveaux éléments d’IA dans les systèmes de leurs clients commerciaux, les entreprises de cybersécurité intègrent l’IA dans leurs propres produits, dans le but d’arrêter les menaces en ligne plus rapidement et plus efficacement.

Pendant ce temps, les escrocs et autres cybercriminels n’ont pas encore assez d’incitation à innover de la même manière. Bien qu’ils utilisent des outils d’IA pour travailler plus rapidement et aller plus loin, les experts disent qu’ils s’en tiennent en grande partie à des versions améliorées des mêmes vieilles escroqueries.

Nicole Perlroth, une ancienne journaliste spécialisée dans la cybersécurité qui est maintenant partenaire de capital-risque chez Ballistic Ventures et dirige son propre fonds de cybermission, Silver Buckshot, a déclaré dans son discours d’ouverture Black Hat qu’elle était encouragée par les technologies nouvelles et émergentes qu’elle voit dans la cybersécurité.

Elle a souligné les nouvelles technologies de détection des deepfake alimentées par l’IA qui arrivent sur le marché et a noté que l’IA a contribué à « démocratiser » les produits et services de cybersécurité, les rendant plus accessibles aux petites entreprises qui ne pouvaient pas se les permettre dans le passé.

Hyppönen a noté que les escroqueries deepfake sont actuellement très rares, mais a ajouté qu’il s’attend à ce que toutes sortes d’escroqueries en ligne, ainsi que les ransomwares, ne fassent qu’empirer à mesure que les technologies d’IA s’améliorent et deviennent moins chères.

La bonne nouvelle, c’est que les défenseurs ont une longueur d’avance en matière d’IA.

« Les attaquants utilisent également l’IA, mais ce n’est qu’un début », a-t-il déclaré. « Jusqu’à présent, nous n’avons vu que des attaques assez simples avec l’IA. Cela va changer, mais pour l’instant, je dirais que nous sommes prêts.