Jusqu'à présent, les organisations ont eu leur plus grande faiblesse dans la lutte contre la cybercriminalité bien maîtrisée : les employés ont été formés et sensibilisés avec succès. Mais avec les escroqueries d'ingénierie sociale générées par l'IA, une nouvelle vague arrive. Jusqu'à ce que la technologie soit mature, les humains doivent jouer le rôle de chien de garde, déclare Chester Wisniewski, Field CTO Applied Research chez Sophos et fait trois prédictions pour l'avenir.
Les organisations sont aux prises avec l'un de leurs composants de cybersécurité les plus critiques : leurs employés. Ils contrecarrent la "faiblesse humaine" par une formation continue et sont désormais souvent convaincus que les utilisateurs reconnaîtront les attaques de phishing potentielles dues à des irrégularités linguistiques ou à une orthographe et une grammaire incorrectes, par exemple.
L'IA ne se révèle plus par des fautes d'orthographe
Mais les générateurs de voix et de contenu alimentés par l'IA comme ChatGPT sont en bonne voie pour supprimer ces éléments révélateurs des escroqueries, des tentatives de phishing et d'autres attaques d'ingénierie sociale. Un faux e-mail de "superviseur" peut sembler plus convaincant que jamais grâce à l'intelligence artificielle et les employés auront sans doute plus de mal à distinguer la réalité de la fiction. Dans le cas de ces escroqueries, les risques posés par les outils linguistiques de l'IA ne sont pas techniques, mais sociaux, et donc effrayants.
Les risques spécifiques des attaques de phishing générées par l'IA
De la création d'articles de blog et de codage de code à la composition d'e-mails professionnels, les outils linguistiques de l'IA peuvent tout faire.Les technologies sont aptes à générer un contenu convaincant et elles sont incroyablement douées pour imiter les modèles de langage humain.
Bien que nous n'ayons pas encore vérifié l'utilisation abusive de ces programmes pour le contenu d'ingénierie sociale, nous soupçonnons qu'il est imminent. ChatGPT a déjà été utilisé pour écrire des logiciels malveillants, et nous nous attendons à ce que les acteurs criminels développent bientôt des applications malveillantes pour les outils vocaux d'IA. Mais : le contenu de phishing généré par l'IA pose déjà des risques sociaux uniques qui sapent la défense technique !
Attaques de phishing par IA : chaque e-mail peut-il constituer une menace ?
Prenons l'exemple des logiciels malveillants générés par l'IA : les produits de sécurité existants peuvent analyser le code de codage en quelques millisecondes et l'évaluer en toute confiance comme sûr ou malveillant. Plus important encore, la technologie peut contrecarrer la technologie.
Mais les mots et les nuances intégrés dans les messages de phishing créés avec l'intelligence artificielle ne peuvent pas être détectés par les machines - ce sont les humains qui interpréteront ces tentatives d'escroquerie comme des destinataires. Comme les outils d'IA sont capables de produire du contenu sophistiqué et réaliste à la demande, nous pouvons de moins en moins compter sur les humains dans le cadre de la ligne de défense.
Nouveau fait : technologie contre technologie
Cette situation en évolution rapide nécessite une réévaluation du rôle de la formation à la sécurité dans la lutte contre les attaques d'ingénierie sociale. Bien qu'il n'existe pas encore d'application commerciale contre la fraude générée par l'IA, la technologie servira de plus en plus d'outil clé pour identifier et protéger les individus contre les attaques de phishing générées par des machines. Les humains joueront toujours un rôle, mais seulement un très petit rôle.
Trois prophéties pour l'ère ChatGPT
Alors que nous en sommes encore aux premiers stades de cette nouvelle ère de l'IA, il est déjà clair que le contenu de phishing généré par l'IA deviendra un sujet extrêmement important pour la stratégie de sécurité des entreprises. Les trois prévisions suivantes sur la manière dont ChatGPT pourrait être utilisé comme outil de cybercriminalité et sur les réponses de sécurité qui en découleront semblent les plus probables :
1. Une authentification utilisateur plus complexe deviendra nécessaire.
Les machines sonnent très bien comme des humains, il est donc nécessaire de fournir de nouvelles options d'authentification dans les entreprises. Cela signifie que toute communication concernant l'accès aux informations, aux systèmes ou aux éléments monétaires de l'entreprise doit nécessiter des formes plus complexes d'authentification de l'utilisateur. La vérification des appels téléphoniques deviendra probablement la méthode la plus courante de vérification de ces types d'e-mails ou de messages. Les entreprises pourraient également utiliser un mot de passe quotidien secret pour s'identifier auprès d'autres entités ou individus.
Certaines institutions financières fonctionnent déjà de cette façon. Quelle que soit la forme de vérification utilisée, il est crucial que la méthode ne puisse pas être facilement utilisée par les attaquants qui ont compromis les informations d'identification des utilisateurs.
Alors que les technologies d'intelligence artificielle évoluent et se répandent à une vitesse vertigineuse, les méthodes d'authentification doivent suivre le rythme. Par exemple, en janvier de cette année, Microsoft a dévoilé VALL-E, une nouvelle technologie d'intelligence artificielle capable de cloner une voix humaine après trois secondes d'enregistrement audio. Donc dans un futur proche, le coup de fil ne suffira probablement plus comme condition d'authentification non plus...
2. Les utilisateurs légitimes atténuent les avertissements de sécurité : tout ou rien
Chester Wisniewski, Field CTO Applied Research chez Sophos (Image : Sophos).
De nombreux utilisateurs utilisent ChatGPT pour produire rapidement du contenu professionnel ou promotionnel. Cette utilisation légitime des outils de langage de l'IA complique les réponses de sécurité en rendant plus difficile l'identification des exemples criminels.
Exemple : tous les e-mails contenant du texte généré par ChatGPT ne sont pas malveillants, nous ne pouvons donc pas tous les bloquer purement et simplement. Cela, dans une certaine mesure, affaiblit notre réponse en matière de sécurité. En guise de contre-mesure, les fournisseurs de solutions de sécurité pourraient développer des "points de confiance" ou d'autres indicateurs qui évaluent la probabilité qu'un message ou un e-mail, bien que généré par l'IA, soit toujours digne de confiance. Ils pourraient également former des modèles d'IA pour reconnaître le texte créé avec l'intelligence artificielle et placer une bannière "Attention" sur les systèmes en contact avec l'utilisateur. Dans certains cas, cette technologie pourrait filtrer les messages de la boîte de réception de l'employé.
3. La fraude générée par l'IA deviendra plus interactive
Je m'attends à ce que les programmes de langage d'IA soient utilisés de manière encore plus interactive par les criminels à l'avenir pour produire des e-mails de phishing ou des messages ponctuels. Les escrocs pourraient utiliser cette technologie pour manipuler des individus via un chat en temps réel.
Les services de messagerie comme WhatsApp, Signal ou Telegram sont cryptés de bout en bout, de sorte que ces plateformes ne sont pas en mesure de filtrer les messages frauduleux ou générés par l'IA dans les canaux privés. Cela pourrait les rendre très attrayants pour les escrocs qui traquent leurs victimes sur ces plateformes.
D'autre part, cette évolution pourrait conduire les organisations à reconfigurer leurs solutions de sécurité. Il peut être nécessaire d'utiliser des technologies de filtrage sur les terminaux individuels des employés.
Jusqu'à ce que les nouvelles technologies s'imposent, ce qui suit s'applique : méfiez-vous de toute communication
Les outils linguistiques de l'IA posent des questions essentielles pour l'avenir de la cybersécurité. Déterminer ce qui est réel devient de plus en plus difficile et les développements futurs ne facilitent pas les choses. Les technologies seront l'arme principale contre la cybercriminalité basée sur l'IA. Mais maintenant, les employés doivent intervenir et apprendre à se méfier de toute communication. À l'ère de ChatGPT, ce n'est pas une réaction excessive, c'est une réponse critique.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.