L'IA élargit la surface d'attaque
Si l'IA porte de nombreuses innovations technologiques, elle est aussi plébiscitée par les cybercriminels aguerris, ouvrant le champs des possibles aux plus néophytes grâce à l'IA générative.
La façon dont des attaquants, même inexpérimentés, peuvent utiliser l'IA générative pour mener des attaques, démontre la nécessité accrue de mesures de sécurité à plusieurs niveaux, fondées sur une politique de Zero Trust.
La sécurité est depuis longtemps une préoccupation majeure pour les entreprises, lesquelles s'appuient traditionnellement sur un ensemble de contrôles préventifs afin de protéger leurs actifs contre les menaces et les vulnérabilités connues. Cependant, il est essentiel qu’elles aient conscience de l’évolution constante du paysage des menaces et de la surface d’attaque, qu’elles s'adaptent donc en permanence et restent proactives dans leurs pratiques de sécurité.
Un contexte de sécurité plus complexe
L'interconnexion croissante des systèmes, associée à l'adoption rapide de nouvelles technologies, a encore compliqué la tâche de sécurisation des organisations. En effet, la prolifération des appareils s’inscrivant dans l'Internet des objets (IoT), dans les services cloud et les environnements de travail à distance, a considérablement élargi la surface d'attaque, rendant plus difficile la protection contre les nouvelles menaces. Des attaquants avec un solide support financier continuent ainsi d'innover, développant quotidiennement de nouvelles techniques pour obtenir un accès ou un contrôle non autorisé sur des actifs critiques. Le chatbot génératif en est un bon exemple. Dans son essence même, il s'agit d'un ordinateur très puissant qui utilise un logiciel de machine learning avancé. Cependant, du fait qu'il s'agit d'un ordinateur, il peut être compromis par des acteurs malveillants.
Script kiddies, jailbreaking et vulgarisation du cybercrime
De plus, les solutions d'intelligence artificielle générative (IAGen) sont des cibles idéales pour ce que l'on appelle les « script kiddies ». Ce terme désigne les personnes qui téléchargent des outils de piratage sans comprendre ni se soucier de leur fonctionnement interne, et sans aucune compétence particulière. En effet, ces hackers néophytes sont moins expérimentés en matière d'exploitation de la cybersécurité et s'appuient sur des programmes pré-écrits trouvés en ligne. Ils ont des compétences moins développées en matière de piratage, utilisent des attaques plus faciles et font peu de recherches. Leur intention est souvent de se faire remarquer ou de troller, en privilégiant la quantité plutôt que la qualité des attaques.
Par ailleurs, pirater un chatbot ne requiert pas de compétences techniques avancées. Il suffit de convaincre le chatbot qu'il peut faire ce qui lui est demandé et donc de donner à l'IA une instruction qui annulera les consignes de base données par le développeur. Ce processus est appelé « jailbreaking ».
Dans le cadre de jailbreaking ChatGPT, les cybercriminels sont capables de débloquer une série de fonctions restreintes. Cela peut aller de la génération de données non vérifiées, à l’expression de pensées sur divers sujets, à la fourniture de réponses uniques, au partage de blagues d'humour noir ou encore à la présentation de résultats sur des sujets restreints par les politiques de l'OpenAI. Les auteurs ont rarement une compréhension suffisamment étendue du procédé pour en mesurer les conséquences.
Par ailleurs, le développement de ces techniques de jailbreaking permet aux experts de la cybersécurité de constater l'expansion de la surface d'attaque. A ce stade, toute personne capable de formuler la bonne question sera en mesure d'effectuer des attaques - sans tenir compte des dommages collatéraux de deuxième, troisième et quatrième niveau. Une fois ce stade atteint, le ChatBot a commencé à agir comme un attaquant expérimenté qui fournit le code, la configuration, les paramètres - tout ce qui est nécessaire.
In fine, tout individu ayant accès à internet peut utiliser les versions gratuites de ChatGPT, ou n'importe quel chatbot d'IA, et capable de formuler l'invite correctement, obtiendra la réponse souhaitée.
Ces préoccupations vont au-delà des exploits des script kiddies. L'utilisation de l'IA par des acteurs légitimes, par exemple dans le développement de logiciels malveillants polymorphes, est également préoccupante.
Protéger les identités et atténuer les risques
C'est pourquoi il est essentiel de sécuriser les identités physiques et informatiques, pierre angulaire de toute approche de sécurité à plusieurs niveaux, en sur les principes de Zero Trust.
Le Zero Trust souligne l'importance de déployer des outils de contrôles appropriés afin d’identifier avec précision les menaces authentiques au milieu de la multitude d’informations et d’actions, tout en tenant compte de l'utilisation abusive potentielle de la technologie de l'IA par des acteurs malintentionnés ou des cybercriminels avérés.
Plusieurs mesures spécifiques peuvent aider les entreprises à atténuer les risques, comme la mise en place d’une architecture segmentée, l’installation d’outils leur permettant de protéger les identités pour tous les accès humains et machines, et surtout le déploiement d’une authentification multifactorielle adaptative (MFA adaptative) par défaut. Toutefois, quelles que soient les mesures prises, il est essentiel de mettre en place une gestion robuste des accès à privilèges avec mots de passe complexes, uniques et changés fréquemment à la fois aux niveaux des utilisateurs et des points d’accès, en incluant la possibilité de restreindre les groupes avec les accès à privilèges les plus élevés dans Active Directory.
Les outils liés à ces mesures d'atténuation ne sont pas nouveaux à ce stade de l'évolution technologique. Ce qui est différent, c'est la façon dont les spécialistes de la sécurité doivent commencer à tirer parti de tout ce qu’ils ont connu et fait par le passé. Essentiellement, ils doivent mettre l'accent sur le chevauchement de la protection, une véritable défense en profondeur, ainsi qu'une approche de sécurité segmentée en couches, un robuste programme de protections des identités, des analyses efficaces et, en fin de compte, une politique de Zero Trust solide.