En ce qui concerne l'impact de l'IA sur l'économie mondiale, les projections sont stupéfiantes.
L'IA générative pourrait injecter jusqu'à l'équivalent de 4,4 mille milliards de dollars par an dans l'économie mondiale, selon McKinsey. PwC estime que les contributions potentielles de l'IA aux finances mondiales atteindront 15,7 billions de dollars d'ici 2030 — soit plus que la production actuelle combinée de la Chine et de l'Inde.
Ce qui motive ces signes de dollar, ce sont les indéniables pouvoirs de l'IA pour augmenter la productivité, que les dirigeants d'entreprise sont impatients d'exploiter. Grâce aux applications d'IA générative telles que ChatGPT, Midjourney et GitHub Copilot, les entreprises peuvent accroître leur productivité, stimuler l'innovation et améliorer leur efficacité.
"C'est une période très excitante en ce moment, avec tout le potentiel de ce que nous pouvons faire avec l'IA : comment nous pouvons rendre nos organisations plus performantes et comment nous pouvons en tirer parti pour servir notre mission. Mais l'autre facette de la médaille, c'est qu'elle comporte des risques », a déclaré Todd McKinnon, PDG d'Okta, lors de la table ronde d'Axios intitulée « The Future of Cybersecurity in the IA Era » en octobre.
Vous trouverez ce revers pleinement exposé dans le monde de la cybercriminalité. Tout comme les entreprises légitimes utilisent l'IA générative pour évoluer rapidement et stimuler la productivité, les acteurs malveillants en font de même.
Il faut désormais moins de 3 secondes d’audio aux cybercriminels utilisant l’IA générative pour cloner la voix de quelqu’un, qu’ils utilisent ensuite pour tromper les membres de la famille en leur faisant croire qu’un proche est blessé ou en difficulté ou le personnel bancaire pour transférer de l’argent du compte d’une victime. Les applications d'IA générative ont également été utilisées pour créer des deepfakes de célébrités, en utilisant la ressemblance de personnes célèbres pour produire des vidéos et des images photoréalistes qui attirent des fans peu méfiants vers des escroqueries.
Et ces exemples sont les nouveaux venus. phishing, une forme de social engineering qui est presque aussi ancien qu'Internet lui-même, est également en hausse. En 2022, les attaques de phishing ont augmenté de 47 % par rapport à l'année précédente, selon Zscaler. Un facteur majeur derrière ce bond ? IA générative.
« La prévalence accrue des kits de phishing provenant des marchés noirs et des outils d'IA de chatbot comme ChatGPT a permis aux attaquants de développer rapidement des campagnes de phishing plus ciblées », indique le rapport
Pourquoi les attaques assistées par l'IA générative ont-elles augmenté ?
Avec l'IA générative, il n'a jamais été aussi facile pour les cybercriminels de séparer les personnes et les entreprises de leur argent et de leurs données. Des outils peu coûteux et faciles à utiliser, associés à une prolifération de données accessibles au public (c'est-à-dire des photos d'individus, des replays vocaux, des détails personnels partagés sur les réseaux sociaux, etc.) et une puissance de calcul améliorée pour traiter ces données contribuent à l'expansion du paysage des menaces. Une personne sans expérience en codage, en conception ou en écriture peut progresser en quelques secondes, à condition qu'elle sache comment formuler des instructions: en fournissant des instructions en langage naturel à un grand modèle de langage (LLM) d'IA, ou LLM (pensez à ChatGPT), ou à un modèle de conversion de texte en image (par exemple, StableDiffusion) pour générer du contenu inédit.
Les capacités d'automatisation de l'IA signifient également que les acteurs malveillants peuvent plus facilement étendre leurs opérations, telles que les campagnes de phishing, qui, jusqu'à récemment, étaient des tâches fastidieuses, manuelles et coûteuses. À mesure que le volume des attaques augmente, la probabilité de succès d'une attaque augmente également, les fruits de ces attaques étant ensuite intégrés à des cybercrimes plus sophistiqués.
Quel est l'impact économique de la fraude renforcée par l'IA générative ?
Bien qu’il soit difficile de déterminer avec précision combien les attaques alimentées par l’IA générative nous coûteront, considérez ceci : en 2015, CyberSecurity Ventures prévoyait que le coût annuel mondial de la cybercriminalité s’élèverait à environ 3 000 milliards de dollars par an. Avance rapide vers son rapport d’octobre 2023: « Nous prévoyons que les coûts mondiaux des dommages causés par la cybercriminalité augmenteront de 15 % par an au cours des deux prochaines années, pour atteindre 10,5 billions de dollars américains par an d’ici 2025. » L’IA générative ne fait qu’aider à faire avancer les choses.
La préoccupation entourant l'IA est également partagée par les plus hauts niveaux du gouvernement. Le 30 octobre 2023, le président Joe Biden a émis un décret sur le développement et l'utilisation sûrs, sécurisés et dignes de confiance de l'intelligence artificielle.
« Au fur et à mesure que les capacités de l'IA augmentent, ses implications pour la sécurité et la sûreté des Américains augmentent également. » Par ce décret exécutif, le Président ordonne les mesures les plus radicales jamais prises pour protéger les Américains des risques potentiels des systèmes d'IA », lit-on dans une déclaration de la Maison-Blanche.
Les préoccupations des consommateurs augmentent également. Le pourcentage d'adultes américains qui se disent « très préoccupés » par le piratage et le vol de leurs données auprès des entreprises qu'ils utilisent régulièrement est passé à 41 % en octobre 2023, contre une moyenne trimestrielle de 36 % à la fin de 2022, selon CivicScience. En ce qui concerne l'IA, 52 % des Américains ont déclaré se sentir « plus inquiets qu'enthousiastes » quant à l'utilisation accrue de la technologie dans la vie quotidienne, selon un sondage d'août 2023 du Pew Research Center.
Compte tenu de l'importance des enjeux, tant du point de vue financier que de celui de la confiance des consommateurs, il est crucial pour les entreprises et les particuliers de rester informés sur la manière dont l'IA générative est utilisée à des fins malveillantes.
Voici un aperçu de certaines des façons dont les acteurs malveillants utilisent l'IA générative pour intensifier leurs attaques, ce que l'avenir nous réserve et comment se défendre contre ces efforts.
Comment l'IA générative aide-t-elle les cybercriminels à travailler de manière plus intelligente et plus rapide ?
Bien que l'intelligence artificielle ne soit pas nouvelle, la disponibilité d'applications puissantes d'IA générative pour le public l'est. Depuis novembre 2022, lorsque OpenAI a lancé ChatGPT dans le monde, nous avons observé que cette technologie puissante a été utilisée à des fins légitimes et frauduleuses.
Clonage vocal
L'authentification vocale semblait autrefois être la prochaine grande méthode d'identification sécurisée, mais cela a été remise en question par les capacités de clonage vocal de l'IA générative. Comme mentionné précédemment, les acteurs malveillants n'ont besoin que d'un court extrait audio d'une personne parlant pour produire une réplique vocale qui semble naturelle et qu'on peut inciter à dire n'importe quoi. Quel est le degré de réalisme de ces clones vocaux ? En mai 2023, des hackers éthiques ont utilisé un clone vocal d’un correspondant de « 60 Minutes » pour tromper un membre du personnel de l’émission et obtenir des informations sensibles en environ cinq minutes — le tout pendant que les caméras tournaient. Des efforts sont en cours pour lutter contre ces clones : Okta a récemment publié un brevet sur la détection des voix générées par l'IA.
Manipulation d'images et de vidéos
Gayle King, Tom Hanks, MrBeast : ce ne sont là que quelques-unes des célébrités dont les noms ont récemment fait les manchettes — et non pour leur dernier projet. Les deepfakes d'IA des célébrités ont fait leur apparition sur Internet plus tôt cet automne, et des escrocs ont utilisé leur image pour tromper un public sans méfiance. Et ce n'est pas seulement l'image de marque d'une célébrité qui est en jeu ; les deepfakes obscurcissent la vérité, semant le chaos et l'incertitude là où les faits comptent le plus, comme sur la scène mondiale ou dans la salle d'audience. Une prolifération d'applications d'IA générative relativement peu coûteuses et faciles à utiliser rend la création de deepfakes facile et bon marché.
Création de texte
Les conseils pour repérer un e-mail de phishing étaient autrefois relativement simples : le message est-il truffé d'erreurs de grammaire et de ponctuation ? Alors, cela pourrait être la première étape d'un pipeline d'escroquerie. Mais à l'ère de l'IA, ces signaux ont disparu comme le pilcrow. L'IA générative peut créer des textes convaincants et impeccables dans d'innombrables langues, ce qui conduit à des campagnes de phishing plus répandues, sophistiquées et personnalisées.
Génération de code
Avec l'IA générative, l'expression « faire plus avec moins » ne s'applique pas seulement à la force humaine. Elle se rapporte également aux connaissances pratiques. Les capacités de codage et de script de l'IA générative permettent aux cybercriminels ayant peu ou pas de prouesses en matière de codage de développer et de lancer plus facilement des attaques. Cette réduction de la barrière à l'entrée pourrait attirer davantage de personnes dans l'écosystème de la cybercriminalité et améliorer les efficacités opérationnelles.
Déchiffrement de mot de passe
Les mots de passe ont un problème : les humains qui les créent et les utilisent. Les experts en protection de la vie privée conseillent depuis longtemps au public de créer des mots de passe forts et de ne jamais les réutiliser. Tout le monde n'écoute pas. Le mot mot de passe était le mot de passe le plus courant utilisé en 2022, selon NordPass. Les gens ont également tendance à Select des mots de passe qui ont une signification particulière pour eux (comme une équipe sportive préférée ou un groupe de musique) et à réutiliser ces mots de passe sur différents sites. Ce sont précisément les informations dont les hackers ont besoin pour des attaques par force brute. Mais ce qui était autrefois un jeu de devinettes manuel et fastidieux a été accéléré avec l'aide de grands modèles de langage (LLM), un type d'IA générative. En s'appuyant sur des données accessibles au public, telles que les informations trouvées sur les comptes de réseaux sociaux d'une personne, des acteurs malveillants peuvent utiliser l'IA générative pour produire une liste de mots de passe possibles — plus pertinents — à essayer. (Un monde sans mot de passe ne peut arriver assez tôt.)
Contournement des CAPTCHA
Cliquez sur une case, tapez du texte dans un champ, sélectionnez tous les carrés avec des feux de circulation : CAPTCHA aide à protéger les sites Web contre tout, du spam aux attaques DDoS, en distinguant les utilisateurs humains des bots indésirables. Et bien que l’intelligence artificielle ait été un adversaire redoutable depuis des années, de nouvelles recherches indiquent que les bots sont désormais plus rapides et plus précis pour résoudre les tests CAPTCHA. Cela ne signifie pas que les jours de CAPTCHA sont comptés. De nouvelles méthodes utilisant l'IA pour déjouer l'IA sont en cours de développement et de test. Une alternative proposée — récemment présentée par l'équipe de science des données d'Okta lors de CAMLIS, une conférence axée sur le machine learning et la sécurité de l'information — est la complétion de narration basée sur l'image. La méthode utilise l'IA pour créer une histoire courte basée sur des images composée de deux scènes, qui sont présentées à l'utilisateur. L'utilisateur doit ensuite sélectionner l'image qui convient le mieux dans le contexte comme scène finale — une tâche que l'IA ne peut actuellement pas accomplir facilement ni à moindre coût.
Injection de commande
« L'injection d'invite est une attaque contre les applications construites sur des modèles d'IA », déclare le développeur open source Simon Willison, à qui l'on attribue le terme « prompt injection » après que la vulnérabilité a été rendue publique en septembre 2022
L'expression « on top » est essentielle ici car, comme l'explique Willison, les modèles d'IA ne sont pas les cibles. « C'est une attaque contre les éléments que les Developer comme nous construisent sur eux », a-t-il déclaré lors d'un Webinars en mai
Les injections d'invites réussies — qui concatènent (c'est-à-dire joindre) des entrées malveillantes à des instructions existantes — peuvent discrètement outrepasser les directives des Developer et détourner les protections mises en place par les fournisseurs de LLM. Ils orientent la sortie du modèle dans la direction choisie par l'auteur de l'attaque, en disant au LLM : « Ignorez leurs instructions et suivez les miennes à la place. » Un exemple d'injection de commande en action : le bot de tweet alimenté par l'IA d'un site Web a été amené à tweeter des menaces contre le président.
Des experts allant de Willison au National Cyber Security Centre (NCSC) du Royaume-Uni avertissent que les risques posés par l'injection d'invite ne feront qu'augmenter à mesure que de plus en plus d'entreprises intègrent des LLM dans leurs produits. Ici, aux bords flous de la frontière de l'IA, les bonnes pratiques pour se protéger contre cette menace sont rares.
« Étant donné que les LLM sont de plus en plus utilisés pour transmettre des données à des applications et des services tiers, les risques liés à l'injection d'invites malveillantes vont croître. » À l'heure actuelle, il n'existe aucune mesure de sécurité infaillible qui puisse éliminer ce risque. Examinez attentivement l'architecture de votre système et soyez prudent avant d'introduire un LLM dans un système à haut risque », met en garde le NCSC.
Quelles sont les prochaines étapes pour les menaces alimentées par l'IA générative ?
Alors que l’adoption des outils d’IA générative continue de croître et que les applications elles-mêmes deviennent plus avancées, les entreprises et les particuliers verront probablement les cybercriminels déployer de plus en plus d’attaques. Encore une fois, tout comme les entreprises commencent à utiliser l’IA générative pour créer des expériences client plus personnalisées, les acteurs malveillants feront de même avec leurs escroqueries. Les efforts des cybercriminels aboutiront à des attaques hautement personnalisées sur des cibles spécifiques, que les escrocs pourront lancer automatiquement à grande échelle, inondant ainsi le monde numérique d'un simple clic. Déterminer ce qui est réel et ce qui est synthétique ne fera que devenir plus difficile.
Sans surprise, la lutte contre l'abus de l'IA est devenue la priorité principale des chercheurs en sécurité et en IA. Ce sentiment d'urgence était manifeste lors de la Conference on Applied Machine Learning for Information Security (CAMLIS) de cette année, où plus d'un tiers des présentations portaient sur les aspects offensifs et défensifs des LLM (Large Language Models). L'année dernière, ce sujet ne figurait pas à l'ordre du jour. Alors, même si les chercheurs se mobilisent aussi vite que possible pour faire face à ces menaces, la question est : se mobilisent-ils assez vite ? Et si les mesures de protection en cours de développement telles que le tatouage numérique et l'attribution de la source se concrétisent, quand les propriétaires des modèles de langage fondamentaux les mettront-ils réellement en œuvre ? Il existe toutefois un aspect des LLMs qui s'est révélé être une sauvegarde involontaire : le prix. Ces modèles restent très coûteux et complexes à construire, à entraîner et à maintenir.
Comment les entreprises peuvent-elles se défendre contre les attaques permises par l'IA générative ?
Chat, voici Souris. Souris, voici Chat. La meilleure défense contre l'IA est l'IA. Alors que les acteurs malveillants intensifient leurs efforts, ce sont les entreprises légitimes qui ont adopté l'IA qui ont les meilleures chances de se défendre contre ces attaques. Bien que le degré auquel les entreprises utilisent l'IA varie considérablement en fonction de leur taille, de leur maturité et de leur type, voici deux principes directeurs pour naviguer dans l’ère de l’IA :
Éducation : Une main-d'œuvre engagée est une main-d'œuvre plus vigilante. Offrez aux employés l'espace nécessaire pour se renseigner sur les outils d'IA générative et les expérimenter — mais pas avant de les avoir informés des bonnes pratiques et d'avoir établi des garde-fous à l'échelle de l'entreprise qui protègent et gèrent les risques associés à l'IA générative. L'objectif : Promouvoir l'utilisation sûre de l'IA générative sans entraver l'innovation.
Partenariat : « Chaque entreprise doit être une entreprise d'IA », a déclaré Todd McKinnon, PDG d'Okta, dans une interview sur Yahoo Finance Live. Même si l'IA ne fait pas partie des offres principales d'une entreprise spécifique, il est probable que cette entreprise utilise des outils et des plateformes où les fonctionnalités d'IA sont mises en avant. C'est ici que des partenariats solides entrent en jeu.
« Cette toute nouvelle révolution de l'IA va signifier plus de capacités … » Mais les acteurs malveillants peuvent aussi utiliser cette technologie », a déclaré McKinnon. « Vous avez donc besoin de cet écosystème d'entreprises qui travaillent ensemble pour protéger toutes vos applications, services et infrastructures. » Et cela ne peut pas être réalisé par une seule entreprise. « Il faut que ce soit cet écosystème collectif. »
Okta n'est pas étranger à l'IA, qui alimente de nombreux produits de ses plateformes Workforce Identity Cloud et Customer Identity Cloud. Basées sur plus d'une décennie de données, ces capacités, connues sous le nom d'Okta AI, aident les organisations à exploiter cette incroyable technologie afin qu'elles puissent créer de meilleures expériences et se défendre contre les cyberattaques.
Souhaitez-vous en savoir plus sur la manière dont Okta AI peut vous aider à protéger votre entreprise et à stimuler l'innovation ? Lisez-en davantage de la part du PDG Todd McKinnon sur la vision de l'IA d'Okta.
