C’est toute l’ambiguïté de l’Intelligence Artificielle au service de la sécurité, aux Etats-Unis 9 entreprises sur 10 ont adopté l’IA dans leur stratégie de sécurité, mais 9 professionnels de la cybersécurité sur 10 craignent désormais que cette technologie soit utilisée contre eux…
… Et ils ont raison, les premiers usages de l’IA au service du phishing ont été détectés !
Pour la première fois dans l’histoire, l’Intelligence Artificielle (IA) a dépassé le stade de la science-fiction pour devenir une réalité. Mieux encore, quelques-unes des personnes les plus intelligentes au monde y travaillent. La technologie, dont nous ne pouvons imaginer l’étendue, séduit… les gentils comme les méchants !
Première historique
Mais pour la première fois également, l’IA a pointé le bout de son nez dans une campagne de phishing : l’ingénierie sociale et l’IA ont été exploitées dans une vague de courriels d’hameçonnage qui manipulent les internautes en leur proposant d’ouvrir une pièce jointe - infectée - proposant de fausses images et vidéos X de célébrités.
L’IA, qui repose ici sur du code open source largement disponible et connu, a été utilisée pour placer le visage de Gal Gabot, Scarlet Johanson, Taylor Swift, Emma Watson ou encore Maisie Williams sur des images GIF dénudées ou pire sur des vidéos d’acteurs du porno.
Une pratique qui laisse entrevoir un avenir terrifiant, car si aujourd’hui la qualité de ces ‘fakes’ ne peut tromper le spectateur averti (et encore…), il suffit de posséder une carte graphique récente, un programme gratuit, et disposer de quelques heures pour obtenir ce résultat.
La vague IA transforme la sécurité
Les organisations américaines se sont largement engagées dans l’adoption de l’Intelligence Artificielle (IA) et du Machine Learning (ML) pour la cybersécurité. 87% des professionnels américains dans ce domaine l’ont confirmé, l’IA est désormais partie de leur stratégie.
Pour les trois quarts d’entre eux, au cours des trois prochaines années il ne sera plus possible d’imaginer la protection des biens numériques sans IA. Et ils sont 99% (!) à indiquer qu’ils perçoivent que l’IA devrait améliorer la sécurité cyber de leurs organisations.
A ce propos, quels sont les usages attendus de l’IA dans la sécurité ?
Les usages de l’IA dans la sécurité sont multiples, et certainement encore très loin de ce que nous pouvons imaginer. Mais les premiers usages sont clairement identifiés et définissent son futur : faire face à l’explosion du volume des menaces et des attaques qui rend très difficile son traitement par l’homme.
C’est ainsi que les premiers usages concrets portent sur la détection des menaces dans des délais critiques. L’objectif est d’identifier les menaces qui auparavant auraient échappé à la vigilance des solutions de sécurité, et réduire sensiblement le taux des faux positifs.
L’IA pour le pire ! La peur des pros de la cybersécurité
Si, nous l’avons vu, ils sont 87% à affirmer que leur entreprise exploite déjà de l’IA dans leur stratégie de sécurité, les professionnels de la cybersécurité sont tout autant, 86%, à craindre que les technologies IA et ML ne se retournent contre eux !
Car si l’IA invite l’internaute à télécharger un fake d’une vedette dont le visage a été détourné, bientôt elle lui permettra de commander la vidéo de sexe de leur(s) célébrité(s) préférée(s) en duo, trio, etc. Un produit téléchargeable sur commande, pour quelques dollars, et livré avec son lot de keyloggers, de chevaux de Troie, et d’autres menaces qui viendront submerger les défenses mises en place par la DSI et le RSSI…
Là encore, si l’IA affrontera l’IA, c’est également vers l’éducation des utilisateurs via la formation et la sensibilisation aux nouvelles menaces qu’il faudra encore et toujours se tourner. Avec en appui de fausses campagnes de tests d’attaques de spear-phishing et de rançongiciels pour placer l’utilisateur face à ses dérives et ses contradictions.
Source : Quaterly Threat Trends de Webroot
Image d’entête 872390528 @ iStock Madedee