Menaces cyber : que craindre de l’intelligence artificielle ?

Des attaquants déjà bien outillés…

C’est tout de même oublier que la trousse à outils à disposition des cybercriminels est aujourd’hui loin de leur être insuffisante. Et ce n’est pas comme si les architectures de SI, les pratiques de gestion des correctifs ou de stockage des données d’authentification constituaient pour eux des défis insurmontables… 

Certains imageront peut-être que tous les 0days exploités cette année par Cl0p ont été développés à grand renfort d’IA. S’il est impossible de l’exclure totalement, cela n’apparaît tout de même pas plus probable que réellement nécessaire…

En fait, ce qu’il faut véritablement craindre de l’IA, dans l’immédiat, est vraisemblablement ailleurs. 

… Mais au moins vaguement ignorants

Souvenez-vous, en 2021, Everest multipliait les revendications concernant des clients de l’infogéreur Xefi. À bien réfléchir, le plus surprenant est peut-être que les acteurs cachés derrière Everest aient réussi à prendre la mesure de la valeur des données auxquelles ils avaient accès : ils sont allés jusqu’à assurer avoir vendu aux enchères le dossier judiciaire de la tuerie de Charlie Hebdo ! 

À raison de 250 go par-ci et de 4 To par-là, les cybercriminels sont assis sur des masses de données considérables. Les volumes en question sont bien au-delà de ce que leurs équipes sont humainement capables d’analyser et dès lors… de valoriser. 

Surtout, en dehors d’éléments techniques, comme du code ou des plans, ou de contrats d’assurance cyber où il suffit de repérer les montants des couvertures, il est difficile d’imaginer que les cybercriminels disposent des compétences, des connaissances, et de la culture nécessaires pour effectivement prendre la mesure de l’importance et de la valeur des données à leur disposition. 

L’IA pour mieux comprendre les données

Peut-être suffit-il que les organisations auxquelles les données ont été volées mesurent l’importance de ces données pour les faire chanter. Certes. Mais tout le monde est bien conscient des difficultés au téléchargement de gros volumes de données via Tor. Ce n’est pas pour rien qu’Akira et Cl0p, notamment, ont commencé à se lancer dans la distribution de données volées via BitTorrent.

Imaginez un instant qu’un cybercriminel fasse plancher une IA générative sur les fichiers volés à sa victime pour lui demander de les catégoriser, de lui présenter, par lots, ceux qui sont le plus susceptibles de faire plier l’organisation attaquée… C’est une première évolution plausible. D’autant que les investissements nécessaires sont loin d’être hors de portée de certains groupes malveillants.

L’usurpation d’identité, vraiment ?

La seconde renvoie à des questions récurrentes dans les cercles du renseignement sur les menaces cyber : à combien d’usurpations d’identités les données personnelles volées et distribuées ouvertement sur Internet ont-elles véritablement donné lieu ? Cela se produit-il souvent ? 

Maintenant, imaginez un grand modèle de langage (LLM) spécifiquement entraîné pour analyser les données divulguées par des cybercriminels à la recherche de données personnelles et, mieux encore, de jeux de données personnelles suffisamment « frais » et complets pour effectivement usurper des identités.

Voilà pour les « nouvelles » menaces que je suis tenté d’entrevoir. Mais cette réflexion s’avère d’autant plus spéculative qu’elle ignore un facteur clé : le rapport effort/bénéfice. 

De fait, les cybercriminels n’ont qu’un intérêt très limité à chercher à innover, à se tourner vers de nouveaux modes de monétisation de leurs activités tant que leur « cœur de métier » reste suffisamment rémunérateur. Et pour l’heure, rien n’indique véritablement cela ne soit pas le cas. 

Des chatbots au service de l’hameçonnage ?

Il n’en reste pas moins que l’IA générative a considérablement abaissé la barrière à l’entrée pour la création de deepfakes… mais aussi de contenus susceptibles d’aider à la mise en place de pièges plus efficaces. De contenus, voire même d’expériences. 

Si la création d’un chatbot pour simuler l’expérience de négociation après attaque avec ransomware est possible et déjà fait, quid de celle d’agents conversationnels (par e-mail, messagerie instantanée, ou appels audio) offrant une expérience plus « réaliste », « naturelle », lors de tentatives hameçonnage (ou smishing, vishing, etc.) ? 

Là encore, la perspective est totalement crédible. Mais encore une fois, le besoin de montée en gamme est-il nécessaire pour la cybercriminalité actuelle ? Les défenses, tant individuelles que collectives, sont-elles si robustes que cela ? Hélas, la triste litanie des cyberattaques suggère que non.