GenAI : comment des acteurs avancés persistants la détournent
Des acteurs malveillants dits avancés et persistants, soutenus par des États-Nation, détournent l’IA générative. Les équipes de Google l’ont en particulier identifié pour le LLM maison, Gemini.
Si certaines craintes suscitées par l’exploitation de l’intelligence artificielle générative peuvent paraître excessives, le détournement de la technologie à des fins malveillantes n’en est pas moins bien réel.
Les équipes de renseignement sur les menaces de Google, le GTIG, se sont ainsi penchées sur les usages malveillants avérés de la GenAI, en s’appuyant sur leurs observations liées au grand modèle de langage maison, Gemini. Elles se sont en particulier intéressées aux acteurs malveillants dits avancés et persistants, les fameux APT liés à des États-Nation, et les opérations d’influence en ligne.
Selon le GTIG, les acteurs malveillants n’ont pas, à ce stade, développé de nouvelles capacités en s’appuyant sur l’IA générative : ils « expérimentent », notamment à la recherche de gains de productivité.
En particulier, les APT « ont utilisé Gemini pour soutenir plusieurs phases du cycle de vie de l’attaque, notamment la recherche d’infrastructures potentielles et de fournisseurs d’hébergement gratuit, la reconnaissance des organisations cibles, la recherche de vulnérabilités, le développement de charges utiles et l’aide à l’élaboration de scripts malveillants et de techniques d’évasion ».
Les acteurs APT liés à l’Iran, la Chine, la Corée du Nord et la Russie ont cherché à exploiter Gemini. Les premiers en ont été les « plus gros utilisateurs » et les derniers n’en ayant fait qu’un usage limité.
Les acteurs liés à l’Iran ont ainsi utilisé Gemini pour un « large éventail d’objectifs, dont la recherche sur des organisations de défense, la recherche de vulnérabilités et la création de contenus pour des campagnes ». En particulier, « l’APT42 s’est concentrée sur l’élaboration de campagnes de phishing, la reconnaissance d’experts et d’organisations de défense et la création de contenus sur des thèmes liés à la cybersécurité ».
Du côté de la Chine, les efforts se sont concentrés sur la conduite « d’opérations de reconnaissance, pour créer des scripts et des développements, pour dépanner le code et pour rechercher des moyens d’obtenir un accès plus profond aux réseaux cibles ».
Les équipes de Google relèvent en outre que « des acteurs nord-coréens ont également utilisé Gemini pour rédiger des lettres de motivation et rechercher des emplois – des activités qui soutiendraient probablement les efforts de la Corée du Nord pour placer des travailleurs informatiques clandestins dans des entreprises occidentales ».
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
De la cyber-extorsion à la cyberguerre : quand les lignes se brouillent
Par: Valéry Rieß-Marchive
-
![]()
JO 2024 : l’Iran a compromis un fournisseur d’affichage numérique
Par: Valéry Rieß-Marchive
-
![]()
Microsoft : l’activité cyber des États-nations se confond de plus en plus avec la cybercriminalité
Par: Alexander Culafi
-
![]()
Log4Shell : de premières mesures insuffisantes et des attaques en cours
Par: Valéry Rieß-Marchive
