AVIS D’EXPERT – L’Intelligence artificielle (IA) est vraiment arrivée en force en 2023. L’IA générative, surtout, a marqué les esprits avec l’arrivée fracassante de ChatGPT dans la conscience collective, à la maison comme au bureau. L’acceptation globale de l’application de l’IA à tous types d’opérations, de la programmation à la comptabilité, promet de nombreux avantages et gains de productivité, mais change aussi la donne en termes d’exposition aux cybermenaces. Une tribune de Thomas MANIERRE, Directeur EMEA Sud de BeyondTrust
L’explosion des menaces liées à l’IA
Les développements de l’IA se poursuivront en 2024 et au cours des 5 prochaines années, mais les menaces liées à l’IA risquent bien aussi d’exploser rapidement selon trois critères :
- Les cybercriminels s’emparent de l’IA. De plus en plus, les cybercriminels humains vont se doter de capacités IA qui vont décupler leur force, leur portée d’action et leurs moyens techniques. Nous avons déjà constaté combien l’IA peut être utilisée pour générer des ransomwares et des malwares, sans que nous y voyions une cybermenace impossible à bloquer pour le moment. L’IA générative (des technologies comme ChatGPT) prépare ce qui va suivre : l’IA faible (Weak AI) ou étroite (Narrow AI), qui se concentre sur de petites tâches spécifiques. La Weak AI va prospérer en 2024 et conférer un avantage de taille aux cybercriminels pour découvrir des vulnérabilités et tromper les mécanismes de détection par exemple. L’IA forte (Strong AI) devrait évoluer rapidement également pour donner accès à une plus grande intelligence, davantage calquée sur l’intelligence humaine. On l’appelle également intelligence générale artificielle ou AGI (Artificial General Intelligence) ou encore super intelligence artificielle ou ASI (Artificial Super Intelligence). On pourrait envisager que des cybercriminels informatiques soient bientôt capables de perpétrer des cyberattaques de façon totalement autonome. L’IA forte permettra à un seul cybercriminel d’agir comme une armée. Non seulement les capacités techniques seront nettement supérieures à celles des pirates humains mais les gains de rapidité et d’échelle leur conféreront une longueur d’avance sur les concurrents humains pour capitaliser sur le marché noir.
- De nouveaux vecteurs de menace basés sur l’IA. L’IA va continuer d’améliorer les vecteurs d’attaque connus, comme le phishing, le vishing et le smishing. De nouveaux vecteurs d’attaque verront le jour en fonction de la qualité des résultats produits par l’IA générative. Il est certain que l’IA générative va changer le monde dans des proportions comparables à l’avènement du .com au début des années 2000. Pour certains, c’est tout aussi révolutionnaire que l’arrivée d’Internet. Les cybercriminels cherchent toujours à détourner les nouvelles technologies à leur profit. On en voit les prémices sous la forme d’articles à base de fake news dans de grands journaux, de faux casiers judiciaires et de faux courriers et annonces à l’en-tête d’organisations officielles. Bientôt, ce seront des vidéos, des audios, des publicités et même de faux récapitulatifs de faits ou des annonces de produits fictifs, et nous serons contraints de devoir distinguer le vrai du faux.
- Nouvelles vulnérabilités créées par la programmation par l’IA. Contrairement à ce qu’on pourrait penser, l’adoption accrue des assistants IA risque d’introduire davantage d’erreurs au cours du développement de logiciels, par la création de vulnérabilités de sécurité dans le code source. Des chercheurs de Stanford ont publié les conclusions d’une étude qui montre que les développeurs qui utilisent des assistants IA pour écrire du code sont davantage enclins que les autres à y introduire des vulnérabilités de sécurité. Au gré de l’adoption par les développeurs d’outils qui leur simplifient la vie et les font gagner en productivité, il est probable que le code source sera envoyé à des services cloud à la sécurité possiblement faillible avec à la clé des risques au sein du code source. L’usage intensif de ces outils introduira à terme et sans le vouloir des vulnérabilités créées par l’IA et des défauts de configurations dans les logiciels. Les modèles d’IA générative entraînés sur des échantillons de code en ligne qui comportent des erreurs vont faire que ce sont des erreurs machine plutôt que des erreurs humaines qui seront la cause des vulnérabilités logicielles.
Les chaînes d’approvisionnement de l’IA dans le viseur
Les états-nations vont devoir veiller aux risques d’introduction de points faibles dans les chaînes d’approvisionnement de l’IA ouvrant la voie à des exploitations futures. Les assistants de programmation IA peuvent notamment ajouter de subtiles vulnérabilités dans les données d’entraînement et même dans la documentation, soit par ciblage direct des assistants IA, soit par diffusion en ligne de désinformation dont l’assistant IA se nourrira. Finalement, ce sont les outils visant à accroître l’efficacité de codage qui vont injecter automatiquement des vulnérabilités dans le code. L’adoption croissante des technologies IA va progressivement amener les entreprises à confier des données confidentielles et sensibles aux services IA. Ces précieuses données vont faire de l’infrastructure IA une cible fort lucrative. Et ce type de risque va être difficile à gérer, surtout que les entreprises n’auront pas toujours le contrôle sur les outils IA que leurs salariés utilisent pour se faciliter le travail, comme pour automatiser la vérification orthographique et grammaticale d’une documentation interne ultra-sensible.
Les évolution de l’IA seront difficiles à encadrer par une gouvernance unique
Les champs de la gouvernance et de la conformité de l’IA vont assurément progresser rapidement dans les 5 ans. À mesure que les technologies à base d’IA et de machine learning (ML) vont s’étendre à toujours plus de systèmes, processus, produits et technologies, la volonté d’une régulation responsable de l’intelligence artificielle va s’imposer aux secteurs privé et public, contraignant les entreprises à se conformer. Les autorités de régulation voudront s’assurer que l’IA est créée et utilisée conformément à des règles éthiques et de protection de la vie privée. Au début, ces efforts de régulations seront possiblement très variables d’une région à une autre. Il faut s’attendre à ce que cette diversité de lois, règles et frameworks conditionne ce que l’IA pourra faire ou non dans telle région, tel secteur et tel pays.
Thomas MANIERRE, Directeur EMEA Sud de BeyondTrust