Publié le
L’intelligence artificielle a facilité la rédaction d’e-mails, la génération de feuilles de calcul et la planification de vacances, comme en témoigne la popularité généralisée des différents modèles d’IA.
PUBLICITÉ
PUBLICITÉ
Selon un récent rapport de Google, cela a également permis de découvrir considérablement plus facilement des lacunes dans les logiciels de nos systèmes qui n’étaient auparavant pas cartographiées ou impossibles à prévoir.
Le Threat Intelligence Group de Google a déclaré avoir découvert pour la première fois des pirates utilisant IA pour découvrir et exploiter une vulnérabilité dite zero-day, ou une faille de sécurité dont le développeur du logiciel ne connaît pas encore l’existence et pour laquelle il n’existe aucune solution disponible.
La cible était un outil d’administration de systèmes Web populaire, et la faille permettait aux attaquants de contourner l’authentification à deux facteurs, cette deuxième couche de sécurité qui, selon la plupart des gens, assure la sécurité de leurs comptes.
Google a déclaré avoir détecté l’attaque avant qu’elle puisse être déployée à grande échelle et avoir discrètement alerté l’éditeur de logiciels.
“L’auteur de la menace criminelle prévoyait de l’utiliser dans le cadre d’un événement d’exploitation massive, mais notre contre-découverte proactive a peut-être empêché son utilisation”, note le rapport.
« Les acteurs menaçants associés à la République populaire de Chine (RPC) et à la République populaire démocratique de Corée (RPDC) ont également démontré un intérêt considérable pour l’exploitation de l’IA pour la découverte de vulnérabilités. »
Une fissure que les développeurs n’ont pas pu voir
La vulnérabilité Zero Day n’est pas une faille conventionnelle. Les scanners de sécurité traditionnels recherchent les problèmes et les erreurs de mémoire, l’équivalent logiciel d’un correcteur orthographique cherchant l’équivalent numérique d’une faute de frappe, mais cette vulnérabilité était enfouie dans la logique du code, une hypothèse subtile codée par le développeur qu’aucun scanner automatisé n’aurait détecté.
C’est le genre d’erreur où tout semble correct en surface mais où le raisonnement sous-jacent ne fonctionne pas. Pensez à un coffre-fort bancaire doté d’une serrure fonctionnelle qui s’ouvre néanmoins pour quelqu’un qui sait que l’exception existe parce que le concepteur en a intégré une par inadvertance.
C’est exactement le genre de contradiction que l’IA sait trouver. “Les LLM de Frontier excellent dans l’identification de ces types de défauts de haut niveau et d’anomalies codées statiques”, poursuit le rapport.
Bien que les LLM de pointe aient du mal à naviguer dans la logique complexe des autorisations d’entreprise, « ils ont une capacité croissante à effectuer un raisonnement contextuel… et [catch] les contradictions de ses exceptions codifiées”, a-t-il conclu.
Cette capacité peut permettre aux modèles de révéler des erreurs logiques dormantes qui semblent fonctionnellement correctes pour les scanners traditionnels mais qui ne sont pas valides du point de vue de la sécurité.
Pas seulement un truc
Même si la vulnérabilité Zero Day constitue la principale conclusion, l’ensemble du rapport est inconfortable à lire.
Parrainé par les États chinois et nord-coréen. les pirates Ils utilisent l’IA pour rechercher des vulnérabilités à l’échelle industrielle, en envoyant des messages automatisés pour détecter les faiblesses dans tous les domaines, des routeurs domestiques aux réseaux d’entreprise.
Google a observé qu’un groupe nord-coréen “envoyait des milliers de messages répétitifs analysant de manière récursive différents CVE et validant les exploits PoC”, créant ainsi ce que le rapport appelle “un arsenal plus robuste de capacités d’exploits qui seraient impossibles à gérer sans l’aide de l’IA”.
Pendant ce temps, des groupes liés à la Russie utilisent l’intelligence artificielle pour développer des logiciels malveillants qui se réécrivent à la volée pour échapper à la détection, une capacité qui nécessitait auparavant une vaste expertise humaine.
L’IA transforme également le phishing. Au lieu d’envoyer des e-mails génériques en masse, les attaquants utilisent désormais l’IA pour cartographier les hiérarchies d’entreprise et identifier des cibles spécifiques ayant accès à des données sensibles et générer des « leurres de phishing de plus haute fidélité adaptés aux individus disposant de privilèges administratifs », selon les termes du rapport, qui vont bien au-delà « des tactiques de base du phishing de masse traditionnel ».
Le changement plus large, note Google, concerne l’IA en tant qu’outil de recherche vers l’IA en tant que sorte de combattant actif dans le domaine de la sécurité.
“Le LLM n’est plus simplement un conseiller passif mais un participant actif dans la chaîne offensive, capable d’orchestrer des outils complexes et de prendre des décisions tactiques à la vitesse d’une machine.”
Les propres outils d’IA de Google ont marqué le jour zéro avant de pouvoir causer des dégâts, ce qui est le bon côté des choses. L’entreprise elle-même déploie des agents d’IA pour rechercher et corriger les vulnérabilités plus rapidement que les équipes humaines ne pourraient le faire.
