Cybersécurité, et IA, quels sont les grands risques ?

Dossier cybersécurité

Source : Sosafe

2023 aura été une année record en matière de cyberattaques, avec une augmentation de plus de 30% des incidents de sécurité par rapport à 2022. Ransomwares, vols de données ou usurpations d'identité se sont multipliés, impactant des organisations de toutes tailles.

En 2024, la menace continuera de croître et de se sophistiquer. Tour d'horizon des perspectives en matière de cybersécurité pour cette année charnière et au-delà.

Utilisation massive de l'IA générative par les cybercriminels

2023 restera comme l’année des IA génératives. En quelques mois à peine, des outils comme ChatGPT ou Midjourney sont passés d’illustres inconnus à des phénomènes mondiaux.

Portées par des progrès spectaculaires, ces IA sont désormais capables de générer à la demande des contenus écrits, visuels ou audio d’une qualité bluffante. Mais comme toute innovation technologique majeure, ce formidable potentiel créatif possède également une face plus sombre.

Exploitation de vulnérabilités jusqu’alors inconnues

L'IA générative ouvre aux hackers un nouveau terrain de jeu : l'exploitation de vulnérabilités zéro-day de façon automatisée. Grâce au machine learning, les cybercriminels peuvent désormais scanner le code source d'applications à la recherche de failles.

Ces vulnérabilités zero-day sont des portes dérobées insoupçonnées dans un logiciel. Non documentées publiquement, elles peuvent être utilisées par des hackers pour compromettre la sécurité d'un système avant même qu'un correctif ne soit disponible.

Avec l'IA, la détection et l'exploitation de ces failles deviennent quasi-instantanées. Les algorithmes identifient les vulnérabilités puis créent automatiquement des outils sur-mesure pour les exploiter.

En permettant d'industrialiser la détection et l'exploitation furtive de failles zéro-day, l'IA générative ouvre donc une nouvelle ère pour le hacking…

Utilisation de l’IA pour dégrader la notoriété des organisations en ligne

Autre risque lié à l'IA générative : la diffusion de fake news hyper-réalistes pour nuire à la réputation d'une organisation. En effet, les algorithmes de génération de texte ou d'images permettent de créer de toute pièce de fausses informations qui paraissent plus vraies que nature. Elles constituent alors de véritables armes de désinformation massive.

Pire, la technologie de deepfake audio et vidéo peut littéralement faire dire n'importe quoi aux porte-parole d'une société. Difficile alors de démentir efficacement ces falsifications aux yeux du public.

Ainsi, le développement des IA génératives donne la possibilité de manipuler l'opinion à grande échelle.

Code IA non sécurisé

À l’heure où plus de 70% des développeurs utilisent des assistants IA comme ChatGPT au quotidien pour générer du code, un risque majeur émerge : celui du code non sécurisé. En effet, ces algorithmes d’IA ne sont pas infaillibles et peuvent laisser échapper des failles dans les bouts de programmes proposés, de deux manières :

Premièrement, le code source généré par ces IA peut parfois contenir lui-même des vulnérabilités exploitables par des hackers. Sans validation humaine rigoureuse, rien ne garantit la conformité aux bonnes pratiques en matière de sécurité informatique. Et pour cause : Apprendre à un algorithme à écrire du code immune aux failles de sécurité est extrêmement complexe !

Deuxièmement, même si le code semble correct, ces IA suggèrent bien souvent d’utiliser certaines librairies et frameworks tiers pour accélérer le développement. Or ces dépendances, à défaut d’être maintenues et mises à jour, peuvent ouvrir des brèches dans l’application finale.

À mesure que les développeurs s’appuient sur ces assistants intelligents, la vigilance reste plus que jamais de mise pour éviter d’introduire de nouvelles vulnérabilités dans les logiciels. Seule une revue humaine rigoureuse permet de pallier les biais des IA.

Augmentation de la menace du RaaS

Le Ransomware-as-a-Service, plus connu sous son acronyme RaaS, désigne un nouveau modèle économique où les cybercriminels mettent à disposition leur rançongiciel contre rémunération. Concrètement, n’importe quel hacker peut « louer » un ransomware clé en main pour mener des attaques contre des cibles désignées.

Ce modèle connaît une croissance fulgurante depuis 2021. Et pour cause : il ne nécessite aucune compétence technique particulière en hacking, juste l’appât du gain. Moyennant 10 à 20% de commission sur chaque rançon extorquée, des groupes comme Conti ou Lockbit fournissent tous les outils pour perpétrer des attaques.

Grâce à ce service « clés en main », le ransomware devient ainsi accessible à une nébuleuse de petits hackers opportunistes. En parallèle, l’émergence de places de marché clandestines facilite les échanges entre clients et fournisseurs de RaaS. Résultat, le nombre d’attaques explose littéralement.

Des impacts physiques et non plus uniquement virtuels

Jusqu'à présent, la plupart des cyberattaques causaient des dommages immatériels : fuite de données sensibles, blocage de systèmes informatiques ou demandes de rançon. Mais désormais, un nouveau cap est franchi avec des attaques provoquant des dégâts physiques sur des infrastructures critiques.

On pense ici en premier lieu aux attaques ciblant le monde industriel et les systèmes de contrôle industriels. Mais pas seulement. Demain, à mesure que les sites se digitalisent, on peut imaginer que d’autres secteurs soient touchés (santé, nucléaire, systèmes d’armements…).

Un enjeu critique aux potentielles répercussions physiques désastreuses qu'il convient désormais de prendre au sérieux et d'intégrer dans les analyses de risques.

La 5G, un vecteur ciblé

La 5G accroît la surface d'attaque avec davantage de fonctions logicielles dans l'architecture réseau que la 4G.

Par ailleurs, l'externalisation de son déploiement facilite l'insertion de backdoors dans les équipements par des acteurs malveillants.

Enfin, la criticité des télécoms en fait une cible privilégiée pour les cyberattaques, dont l'impact serait démultiplié par la 5G.

Une réglementation IA en consolidation en 2024

On le voit, le considérable potentiel de transformation des technologies d'IA s'accompagne indubitablement de risques émergents pour les organisations. C'est la raison pour laquelle 2024 devrait voir émerger un cadre réglementaire visant à encadrer les usages de l'IA, notamment concernant la cybersécurité.

En Europe, la directive NIS2 entrera en application cette année pour un large spectre d'entités privées et publiques jugées essentielles au fonctionnement de l'économie et de la société. En pratique, ces organisations se verront imposer des exigences renforcées en matière de résilience numérique et de gestion des risques liés à l'IA.

Il s'agira par exemple de procéder à des analyses d'impacts avant tout projet d'intelligence artificielle, pour détecter préventivement d'éventuelles failles ou biais algorithmiques. Mais également de mettre en place des processus continus de tests et d'audits des systèmes d'IA après leur déploiement. En clair, les « boîtes noires » opaques seront de moins en moins tolérées.

Globalement, l'esprit de cette réglementation consiste à responsabiliser les acteurs sur les cyber-risques engendrés par les algorithmes qu'ils adoptent. Car il en va de la résilience collective face à la recrudescence des cybermenaces exploitant désormais les faiblesses de l'IA.

À l’évidence, l’IA aura durablement bouleversé en profondeur le paysage des cybermenaces en 2023. Heureusement, la prise de conscience s’accélère, aussi bien du côté des régulateurs qu’auprès des organisations amenées à auditer davantage la sécurité de leurs systèmes d'IA.

Mais dans la course à l’armement engagée entre hackers et professionnels de la cybersécurité, ces derniers doivent urgemment muscler leurs défenses, au risque de connaître une année 2024 désastreuse sur ce plan.

Romain Frutos