COULEURS-DE-LA-VIE

Comment les hackers et les escrocs détournent déjà cette technologie ...

La puissance de création de l’IA générative est mise à profit par les cybercriminels afin d’optimiser leurs attaques et leurs arnaques.

Et ce n’est que le début d’une nouvelle vague.

Par Damien Licata Caruso 

Interpol a donné l’alerte en émettant ce mardi une notice « mauve » sur les modes opératoires afin de mettre en garde les polices du monde entier contre l’utilisation de l’intelligence artificielle et la technologie du « deep fake » pour rendre plus crédibles des usurpations d’identité.

Popularisée auprès du grand public par le robot conversationnel ChatGPT, la technologie de l’intelligence artificielle générative (IAG) irrigue toute l’économie … jusqu’à la cybercriminalité. Pire, elle rend les escroqueries en ligne et les piratages bien plus faciles et efficaces. « Phishing », rançongiciel, escroqueries aux faux colis et même arnaque au président : toute la panoplie du cybercriminel profite d’une sérieuse mise à jour des outils.

« L’IA se démocratise chez les cybercriminels comme dans la population, et les rend plus efficaces et crédibles, elle joue pleinement son rôle d’accélérateur », analyse Jean-Jacques Latour, directeur de l’expertise en cybersécurité de Cybermalveillance.gouv.fr, la plate-forme d’assistance aux victimes.

« Leur méthode qui joue sur les émotions, la peur et la notion d’urgence ne change pas, c’est le volume des campagnes d’attaques et la force de persuasion qui augmente d’un coup », complète Jelle Wieringa, expert informatique chez KnowBe4, une plate-forme de sensibilisation à la cybersécurité.

Devenu malheureusement un grand classique, surtout en fin d’année, l’e-mail de phishing (« hameçonnage ») qui promet un smartphone gratuit, une réduction ou un cadeau se perfectionne. Exit les fautes grossières d’orthographe ou de syntaxe.

« C’est le début de la fin pour le mail générique et mal écrit car le faux e-mail est de plus en plus adapté au langage de la cible et utilise le bon contexte pour convaincre de cliquer sur un lien ou un site douteux », estime Jean Diederich, associé du cabinet Finegan, spécialisé dans la lutte contre la fraude bancaire.

Utile pour produire du code informatique voire corriger des erreurs, l’IA générative se décline aussi en version pervertie. Au cœur de l’IA, le LLM (ou modèle de langage basé sur l’apprentissage automatique) peut être converti en arme redoutable. « Il existe déjà sur le Darknet un logiciel baptisé ThreatGPT qui développe des virus et les configure sur mesure pour exploiter une vulnérabilité bien connue d’un programme informatique », avertit Fanch Francis, cofondateur de la start-up de cybersécurité NANO Corp. D’autres programmes comme WormGPT (création de malwares) ou FraudGPT (phishing) gagne en attraction auprès des acteurs malveillants.

Le développement des virus facilité

Fléau pour les entreprises comme pour les hôpitaux, les rançongiciels bénéficient déjà du potentiel de l’IA. « Le code informatique d’un logiciel malveillant est modifié à l’infini et en quelques secondes pour ensuite déjouer tous les outils de détection basés sur la détection d’une signature », s’alarme Fanch Francis, ancien analyste au ministère des Armées.

Après avoir infiltré un système informatique et siphonné des données, les hackers font aussi appel à l’IA pour faire le tri dans une masse de données. Objectif : gagner du temps et maximiser leurs profits. « Les algorithmes vont fouiller dans des téraoctets de données afin de trouver les plus pertinentes et les plus faciles à monnayer lors d’une extorsion », prévient Jean-Jacques Latour, de Cybermalveillance.gouv.fr.

Toujours aussi efficace pour provoquer un virement frauduleux, l’arnaque au président change de dimension et s’industrialise grâce au traitement massif de données combiné aux générateurs d’audio « deepfake », des imitations parfaites de la voix.

« L’IA sert en amont à compiler des informations sur les dirigeants et les rapports annuels de l’entreprise et ainsi à repérer qui autorisent les virements », pointe Jean Diederich.

« Il suffit ensuite en théorie d’utiliser l’intervention d’un directeur dans une conférence pour synthétiser sa voix et lui faire ordonner ce qu’ils veulent », souligne l’expert en fraude bancaire. Le même type de technique pourrait être réemployé dans le cadre du « vishing », l’appel d’un faux banquier qui vous fait transférer de l’argent.

La police britannique a déjà rapporté plusieurs cas où du contenu synthétique généré par l’IA a été utilisé pour tromper, harceler ou extorquer des victimes. Certains cas ont aussi impliqué l’imitation de proches de victimes via une technologie de clonage de la voix. En France, les premiers cas n’ont pas été officiellement recensés mais un doute subsiste.

« Nous n’avons encore rien vu de probant attribuable en particulier à l’IA mais ce n’est qu’un outil pour les escrocs qui ne va laisser que peu de preuves de son utilisation » tempère Jean-Jacques Latour. « Plusieurs cas sont encore en cours d’analyse » indique, de son côté, la commissaire Alice Koiran, qui dirige la plate-forme anti-escroquerie Thesée.

Appliquer la règle du « zero trust »

Qui se cachent derrière ces attaques de plus en plus sophistiquées ? Les soupçons se portent sur les gangs de cybercriminels les plus actifs qui ont les moyens de faire évoluer leurs « outils de travail ». « Ce sont essentiellement des réseaux très organisés d’Europe de l’Est qui ont bien pris en main ces innovations », juge Jean Diederich, de Finegan. « Il ne faut pas oublier les pirates étatiques de pays en marge comme la Corée du Nord », ajoute Jelle Wieringa.

Une dernière menace qui monte fait encore plus froid dans le dos. Plusieurs chercheurs en cybersécurité — et certainement des esprits mal intentionnés en parallèle — ont mis au point la technique PoisonGPT, soit empoisonner les algorithmes d’une intelligence artificielle avec des données fausses afin de pousser un chatbot à diffuser des fake news. En cybersécurité comme en IA, la règle du « zero trust », l’absence de confiance a priori, reste cardinale.

Source