ChatGPT : pour le meilleur ou pour le pire de l’IA ?
Les sciences et les technologies ont considérablement amélioré la vie humaine au fil du temps. En théorie, cette quête de nouveaux savoirs ne peut être que bénéfique. Mais en pratique, chaque outil a un impact positif ou négatif selon les intentions de son utilisateur.
Dans notre ambition insatiable de reproduire et de décrypter l’esprit humain, nous sommes entrés dans l’ère de l’intelligence artificielle (IA). Bot textuel piloté par IA, ChatGPT est le dernier outil en date à faire la une pour son utilisation virale d’une IA avancée. Correction de bugs dans du code, création d’animations 3D, élaboration de recettes de cuisine, composition de chansons entières… ChatGPT illustre l’incroyable capacité de l’IA à élargir le champ des possibles.
Mais pour beaucoup, l’IA constitue également une arme à double tranchant. En cybersécurité, les experts ont aujourd’hui accès à des outils et des produits de sécurité pilotés par IA qui leur permettent de traiter de gros volumes d’incidents avec un minimum d’intervention humaine. Revers de la médaille, cette technologie permet en parallèle aux hackers même les moins expérimentés de développer des programmes de malware intelligents et de lancer des attaques furtives d’envergure de plus en plus préoccupante.
Y a-t-il un problème avec le nouveau chatbot ?
Depuis le lancement de ChatGPT en novembre 2022, des experts et commentateurs technologiques du monde entier s’alarment de l’impact de ce type d’IA génératrice de contenu, en particulier sur la cybersécurité. Et au rang de leurs principales préoccupations figure cette question : « Une IA logicielle peut-elle servir à démocratiser le cybercrime ? ».
Il y a peu, lors des conférences de Black Hat et Defcon dédiées à la sécurité et tenues à Las Vegas, une équipe représentant le ministère des Technologies de Singapour a démontré la puissance potentiellement néfaste de l’IA. Dans ce cas précis, l’intelligence artificielle a été capable de rédiger des e-mails de phishing et des messages de spear-phishing redoutablement efficaces, d’une qualité nettement supérieure à des campagnes créées par l’humain.
À l’aide de la plateforme GPT-3 d’OpenAI et d’autres produits AIaaS (AI-as-a-Service), les chercheurs se sont concentrés sur la création d’e-mails de phishing générés par l’analyse des personnalités et des profils de leurs collègues. Ils ont ensuite développé un pipeline spécifique pour maquiller et perfectionner les e-mails avant d’attaquer leurs cibles. À leur surprise, la plateforme a également ajouté d’elle-même des détails très pertinents, comme la mention d’une loi de Singapour, après que les chercheurs lui ont demandé de générer du contenu pour leurs victimes.
De leur côté, les créateurs de ChatGPT assurent que l’outil piloté par IA intègre des contrôles capables de contester des énoncés incorrects et de rejeter des requêtes inappropriées. Si le système dispose de filtres conçus pour prévenir les actes ouvertement malveillants, il semble néanmoins qu’en quelques prompts créatifs, le chatbot soit parvenu à créer un e-mail de phishing plus vrai que nature, aux tournures « étrangement humaines ».
Comment faire face
Selon le Centre australien de la cybersécurité (ACSC), le total des pertes autodéclarées par les entreprises australiennes victimes d’attaques BEC (compromissions par e-mail) a atteint les 98 millions $ en 2022, une hausse de près de 17 millions $ par rapport à 2021. Et la tendance n’est pas près de s’inverser. Vente d’outils sur le dark web pour moins de 10 $, émergence du Ransomware-as-a-Service, outils IA de type ChatGPT… ensemble, tous ces facteurs agrandissent la brèche dans laquelle les cybercriminels ne manqueront pas de s’engouffrer.
Face à la menace de hackers toujours plus habiles et mieux outillés, la cybersécurité doit s’armer en conséquence pour contrer ces exploits pilotés par IA. La stratégie à long terme ne saurait toutefois pas se résumer à une équipe d’innombrables traqueurs de menaces qui tentent de neutraliser les attaques par IA de manière sporadique et tâtonnante.
Heureusement, des fonctionnalités existent déjà pour remédier à ce problème. C’est le cas par exemple de la réponse autonome, couramment utilisée pour bloquer les menaces sans intervention humaine. Néanmoins, ces outils doivent impérativement s’accompagner de mesures intelligentes pour anticiper l’évolution des menaces. Si les entreprises peuvent assurer une cybersécurité de base en implémentant des pratiques telles que les huit grandes stratégies de prévention de l’ACSC, cela ne garantit pas pour autant une protection complète contre les menaces émergentes et avancées. À l’heure où les attaques pilotées par IA s’installent dans notre quotidien, les États, les individus et les organisations doivent justement se tourner vers des technologies émergentes comme l’IA ou le machine learning pour élaborer leurs propres réponses automatisées.
Cap sur une IA plus éthique et responsable
Au vu des récents cas de hacking qui ont fait les gros titres en Australie, les entreprises cherchent de toute évidence à renforcer leur posture de cybersécurité. Et cela doit forcément passer par l’implémentation de nouvelles technologies, d’autant plus que la commission australienne des valeurs mobilières et investissements (ASIC) surveille de près les dirigeants qui n’ont pas su prioriser la cybersécurité dans leur structure.
Cependant, le chemin qui mène les entreprises vers une sécurité pilotée par IA est semé d’embûches. Des complexités techniques aux éléments humains, l’équilibre des trois forces clés (machines, personnes et considérations éthiques) doit être assuré à tout moment.
Pour poursuivre ses activités de manière éthique tout en améliorant la cybersécurité, l’adoption de politiques d’entreprise s’avère indispensable. Seuls des cadres réglementaires et une gouvernance efficace permettront de renforcer la sécurité et la fiabilité des technologies IA, tout en contribuant à un monde plus juste et plus durable. C’est pourquoi le maintien de l’équilibre délicat entre l’Humain et l’IA constituera l’ingrédient clé d’une cybersécurité efficace, par laquelle la confiance, la transparence et la responsabilité valoriseront les atouts des machines.
Publié pour la première fois dans Australian Cybersecurity Magazine le 18 janvier 2023.