Technologies

Les gains de productivité de l'IA profitent aussi aux cybercriminels

Les gains de productivité de l'IA profitent aussi aux cybercriminels
Demain, des armées de bots au service des cybercriminels ? La technologie a certes du potentiel pour ces activités, mais attention aux affirmations trop péremptoires des acteurs de la menace. (Photo : Mohamed Nohassi / Unsplash)

Une étude examine les manières dont les criminels exploitent l'IA pour atteindre plus efficacement ou plus rapidement leurs objectifs. Et c'est inquiétant.

PublicitéLes cybercriminels commencent à utiliser l'intelligence artificielle pour rendre leurs opérations plus efficaces - et leur utilisation va bien au-delà de la création de meilleurs appâts pour les opérations d'hameçonnage (phishing). Tout comme dans les entreprises, les discussions sur l'IA entre les criminels se sont accélérées cette année par rapport à 2023, notent les chercheurs du groupe de cybersécurité Intel 471 dans une nouvelle étude publiée début juin (intitulée 'Cybercriminals and AI : Not Just Better Phishing').

Les cybercriminels observent de près les développements de la technologie et expérimentent, affirment les chercheurs. Certains d'entre eux prétendent utiliser l'IA pour des activités telles que la création de fausses vidéos, la neutralisation de la reconnaissance faciale et la synthèse de données volées issues des attaques. D'autres intègrent l'IA dans leurs outils de piratage ou créent des chatbots malveillants. Toutefois, selon l'étude, « l'impact le plus visible de l'IA sur la cybercriminalité a sans doute été l'augmentation du nombre d'escroqueries, en particulier celles recourant à des deepfakes ».

Le deepfake : 60 à 400 $ par minute

Certaines de ces escroqueries ont coûté des vies, assure l'étude. Par exemple, un groupe de cybercriminels connu sous le nom de Yahoo Boys, principalement basé au Nigeria, utilise des deepfakes pour des escroqueries à la romance et à la sextorsion, gagnant la confiance des victimes grâce à de faux personnages. Ils persuadent souvent ces victimes de partager des photos compromettantes, qu'ils menacent ensuite de rendre publiques s'ils ne sont pas payés. Intel 471 indique que de nombreuses victimes ciblées sont mineures et que, dans certains cas, elles se sont suicidées.

Les offres de deepfakes ont considérablement augmenté depuis janvier 2023, selon l'étude, et elles sont devenues moins chères. Un acteur de la menace prétend ainsi générer des deepfakes audio et vidéo à l'aide d'un outil d'IA pour un prix compris entre 60 et 400 dollars par minute, en fonction de la complexité. Une aubaine par rapport aux tarifs pratiqués en 2023. D'autres acteurs malveillants proposent un service d'abonnement à 999 dollars par an pour 300 échanges de visages par jour dans des images et vidéos.

Gains de productivité : aussi pour les cybercriminels

D'autres acteurs malveillants utilisent l'IA dans le cadre d'escroqueries aux courriels d'entreprise ou de fraudes documentaires. Selon l'étude, l'un d'entre eux aurait mis au point un outil utilisant l'IA pour manipuler des factures, intercepter les communications entre les parties et modifier des informations telles que les numéros de compte bancaire afin de rediriger des paiements. « L'outil de manipulation de factures disposerait d'un large éventail de fonctionnalités, notamment la capacité de détecter et de modifier tous les documents PDF (Portable Document File) et d'échanger des numéros de comptes bancaires internationaux (IBAN) et des codes d'identification bancaire (BIC), écrivent les auteurs de l'étude. L'outil est proposé sous forme d'abonnement au prix de 5 000 dollars par mois ou de 15 000 dollars pour un accès à vie. Si cet outil fonctionne comme promis, il répond à un cas d'usage souvent cité de l'IA et offrant des gains de productivité, mais dans un contexte criminel. »

PublicitéUn autre criminel prétend utiliser le modèle de langage Llama de Meta pour extraire les données les plus sensibles des violations de données afin de faire pression sur la victime pour qu'elle paie une rançon.

Le crime, un marché concurrentiel où l'IA est un atout

Cependant, selon Jeremy Kirk, analyste chez Intel 471, tous ces prétendus usages de l'IA ne sont pas nécessairement avérés. « Nous utilisons le terme "prétendument" pour signifier qu'il s'agit d'une affirmation d'un acteur de la menace et qu'il est souvent difficile de savoir exactement dans quelle mesure l'IA a été incorporée dans un produit, quel LLM est utilisé, etc. », souligne-t-il. « Quant à savoir à quelle vitesse les développeurs d'outils cybercriminels exploitent l'IA pour en tirer un avantage concurrentiel, il semble que nous assistons à de véritables efforts pour voir comment la technologie peut aider les activités cybercriminelles. Les marchés clandestins sont concurrentiels et il y a souvent plus d'un fournisseur pour un service ou un produit donné. Il est donc dans leur intérêt que leur produit fonctionne mieux qu'un autre, et l'IA pourrait les y aider ».

Intel 471 a étudié de nombreuses affirmations douteuses, notamment celle de quatre informaticiens de l'Université de l'Illinois Urbana-Champaign (UIUC) qui prétendent avoir utilisé le LLM GPT-4 d'OpenAI pour exploiter de manière autonome des vulnérabilités dans des systèmes réels en alimentant le LLM avec des vulnérabilités et expositions publiques (CVE), décrivant des failles. L'étude souligne que « comme de nombreux éléments clés de l'étude n'ont pas été publiés - tels que le code de l'agent, les prompts ou les résultats issus du modèle -, ils ne peuvent pas être reproduits avec précision par d'autres chercheurs, ce qui invite à nouveau au scepticisme ».

Détournement de la recherche Google augmentée par la GenAI

D'autres acteurs de la menace ont proposé des outils qui récupèrent et résument les données des CVE, ainsi qu'un outil intégrant ce qu'Intel 471 présente comme un modèle d'IA bien connu dans un outil de piratage polyvalent, capable de proposer tant l'analyse des réseaux, de la recherche de vulnérabilités dans les systèmes de gestion de contenu que du codage de scripts malveillants.

Les auteurs de l'étude ont également mis en évidence certains des nouveaux risques qui apparaissent à mesure que l'utilisation de l'IA se développe. Comme la redirection vers des sites malveillants grâce à la génération de recommandations dans la nouvelle expérience de recherche de Google, alimentée par l'IA générative. Ou comme les vulnérabilités dans les applications d'IA. En outre, des États et d'autres entités ont été observés en train d'utiliser des LLM pour de multiples types d'attaques. L'étude cite des articles de blogs de Microsoft et d'OpenAI qui identifient spécifiquement cinq groupes parrainés par des États, un issu de Russie, un de Corée du Nord, un d'Iran et deux de Chine.

La situation ne fera qu'empirer

Pour Intel 471, bien que l'IA n'ait joué par le passé qu'un « petit rôle de support » dans la cybercriminalité, le rôle de la technologie s'est d'ores et déjà accru. Les analystes s'attendent à une augmentation des activités basées sur les deepfakes, le phishing ou la compromission d'emails professionnels, ainsi que des campagnes de désinformation alimentées par la capacité des LLM à générer du contenu. « Le paysage de la sécurité changera radicalement lorsqu'un LLM pourra trouver une vulnérabilité, écrire et tester le code d'exploitation, puis exploiter de manière autonome les vulnérabilités », ajoutent les auteurs de l'étude.

« L'apprentissage automatique et la technologie connue sous le nom d'IA circulent dans le secteur de la sécurité depuis longtemps, de la lutte contre le spam à la détection des logiciels malveillants, souligne Jeremy Kirk. Au minimum, l'IA pourrait contribuer à accélérer les attaques, mais aussi à renforcer les défenses. Il y aura des moments où les attaquants auront le dessus, d'autres où les défenseurs rattraperont leur retard, mais ce n'est pas très différent de la situation que nous connaissons actuellement. La façon dont les cybercriminels peuvent utiliser l'IA dépendra également de la disponibilité de LLM et de modèles d'IA intégrant peu de garde-fous, des outils autorisant les demandes d'informations ou de code susceptibles d'aider dans des usages malveillants. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis