L’intelligence artificielle, amie ou ennemie de la cybersécurité ?
L’Intelligence Artificielle (IA) est un domaine de l’informatique qui vise à créer des machines capables de fonctionner de manière autonome et de réaliser des tâches qui nécessitent normalement l’intelligence humaine. La mise en service, fin 2022, du robot conversationnel ChatGPT (pour Generative Pre-trained Transformer) par OpenAI a largement marqué les esprits. Il s’agit d’une avancée technologique majeure car pour la première fois accessible au grand public, ainsi que d’un très bon exemple de ce à quoi peut ressembler l’intelligence artificielle. De manière générale, l’IA implique le développement de programmes informatiques capables d’apprendre, de raisonner, de planifier, de percevoir, de communiquer et de prendre des décisions de manière autonome. L’ensemble des avancées sont en train de révolutionner la cybersécurité. L’IA permet désormais de détecter plus rapidement et plus efficacement les cybermenaces. De plus, elle fournit également des capacités plus avancées que les méthodes traditionnelles, en particulier en matière de prévention et de réponse aux menaces. Nouvel outil particulièrement puissant, l’IA soulève néanmoins un certain nombre de questions en matière de sécurisation des données. Comme chaque médaille a son revers, il convient de se pencher sur les avantages et inconvénients de l’intelligence artificielle pour la cybersécurité.
Les algorithmes d’apprentissage automatique renforcent désormais mieux la sécurité des systèmes d’information. Ils sont désormais capables d’analyser des quantités massives de données, en temps réel, dans le but d’identifier les modèles au comportement suspect et de détecter les activités malveillantes avant qu’elles ne puissent causer des dommages. L’IA peut aider à anticiper les attaques avant qu’elles ne se produisent, en surveillant en permanence les réseaux et en cherchant les potentielles vulnérabilités. Ces systèmes peuvent également être utilisés pour renforcer la sécurité des mots de passe ou pour détecter les tentatives de phishing.
Le machine learning est une sous-discipline de l’IA qui a recours à diverses techniques, pour permettre à un ordinateur de s’entraîner sur des données et d’apprendre à exécuter des tâches spécifiques. Grâce à lui, l’intelligence artificielle permet un gain de temps considérable, en automatisant certaines tâches de sécurité, en réduisant la charge de travail pour les équipes de sécurité et en améliorant l’efficacité des processus. Les systèmes d’IA peuvent être utilisés pour surveiller les journaux d’activité des serveurs et des applications, pour trier les alertes de sécurité et pour effectuer des analyses de risque.
En dernier ressort, l’IA peut aussi améliorer les réponses aux incidents de sécurité. Elle peut être en mesure de fournir des informations précises sur des vulnérabilités et assister les équipes SSI dans leurs décisions et sur la manière de répondre à un incident. L’analyse, par une intelligence artificielle, d’une faille ou d’un incident, offre la possibilité de mieux comprendre pourquoi et comment une attaque a pu être possible.
Il est cependant important de noter que l’IA peut également présenter des risques, plus ou moins conséquents, en matière de sécurité des systèmes d’information. Tout d’abord, les pirates informatiques peuvent eux aussi recourir à l’intelligence artificielle pour réaliser des attaques plus sophistiquées et donc, plus violentes. Certains cyberattaquants excellent dans le recours à des techniques de compromission de l’IA. Il existe principalement trois situations lors desquelles les hackers peuvent recourir à de telles techniques :
- ils testent la capacité de pénétration de leurs logiciels face à une IA en simulant des attaques afin d’analyser les défenses ;
- ils peuvent cartographier des modèles d’IA afin d’élaborer des stratégies de piratage plus complexes ;
- ils cherchent à tromper une IA en l’empoisonnant avec des données erronées (adversarial machine learning)afin de faire croire à l’IA que les comportements d’attaque ne sont pas malveillants.
Si vous souhaitez en savoir plus, consultez l’article de Techtarget ‘How hackers use AI and machine learning to targer entreprises’.
De surcroît, il arrive que des pirates aient recours à des techniques de machine learning. Celles-ci offrent des capacités avancées, susceptibles d’être exploitées dans le but d’améliorer les niveaux de sophistication de cyberattaques. Les pirates peuvent ensuite recourir à des attaques de phishing améliorées (en utilisant des algorithmes d’apprentissage automatiques pour générer des e-mails de phishing plus sophistiqués et proches des habitudes de communications des expéditeurs légitimes) ou à des malwares personnalisés (recours au machine learning afin d’analyser les comportements des utilisateurs ciblés et les failles de sécurité). Les pirates peuvent aussi avoir recours au machine learning afin pour détecter et éviter les systèmes de sécurité — dont ils auront pris soin d’analyser les modèles et le comportement en amont (pare-feu, système de détection d’intrusion, etc.). L’objectif recherché reste le même, pouvoir établir un index des vulnérabilités et s’en servir pour développer des techniques d’attaques plus sophistiquées et plus intrusives.
Certains cyberattaquants vont même jusqu’à procéder à des modifications du code, permettant de manipuler, à distance, un système de sécurité basé sur l’intelligence artificielle. Le but peut être d’autoriser des accès qui sont normalement restreints, comme à des données confidentielles par exemple, ce qui peut avoir de graves conséquences.
Plus largement, le recours à l’IA en matière de cybersécurité peut également présenter des risques pour la vie privée et les droits de l’Homme. En effet, certains systèmes d’intelligence artificielle collectent parfois des quantités massives de données personnelles. Ces dernières sont ensuite utilisées pour créer des profils d’utilisateurs (on parle de profilage) et les cibler avec des publicités personnalisées ou des messages de phishing. Pour illustrer les risques liés au traitement des données personnelles par une intelligence artificielle, ChatGPT est un exemple particulièrement éloquent. Sa sortie a soulevé la question de la protection des données et de sa conformité aux réglementations européennes. En effet, les échanges entre l’utilisateur et le robot conversationnel sont collectés par OpenAI. Des questions se posent en matière de droit de rectification des données par l’utilisateur, comme l’exige le règlement général sur la protection des données (RGPD) de l’Union européenne.
Début 2023, l’Italie avait bloqué l’accès à ChatGPT craignant une mauvaise gestion des données personnelles de ses citoyens. En avril 2023, la Commission Nationale de l’Information et des Libertés (CNIL) a décidé l’ouverture d’une procédure de contrôle relatif à de possibles manquements à la réglementation en vigueur. L’Espagne a également annoncé avoir ouvert une enquête. De son côté, l’UE suit de près le dossier grâce àson comité de protection des données (CEPD). Début mai 2023, suite aux améliorations apportées par OpenAI, en matière de protection des données et de conformité au RGPD, les autorités italiennes ont rétabli l’accès à ChatGPT.
Il convient de noter que des dérives dans les réponses proposées par certains logiciels conversationnels, comme ChatGPT, ont également été rapportées. La plupart des IA sont programmées de manière à ne pas répondre à des requêtes à visée pornographiques ou terroristes par exemple. Il a cependant été prouvé qu’en manipulant l’IA par des questions détournées et subtiles, cette dernière peut, en définitive, apporter une réponse qu’elle n’était pas censée fournir en premier lieu.
L’exemple du chimiste est révélateur : si vous demandez à une IA les produits nécessaires pour créer une bombe artisanale, l’IA ne vous fournira pas la liste et encore moins les instructions. En revanche, si vous prétendez être un chimiste, que vous apportez à l’IA quelques connaissances sur des produits chimiques et que vous lui faites croire qu’il s’agit d’une expérience scientifique, il est possible que l’IA vous donne des conseils sur les produits à mélanger pour créer une explosion. Ce genre de dérives ont été démontrées et soulignent la facilité avec laquelle il est possible de détourner une IA.
La problématique se pose également concernant les générateurs d’images par IA. Ces derniers sont éduqués à partir de données dites d’entraînement. Une fois mis en circulation, leur base de données sont continuellement alimentées par les images présentes sur Interne. Les générateurs d’images ont pour règle de ne pas créer d’images d’horreurs pouvant choquer son utilisateur. Néanmoins, en combinant les mots « lac rouge » et « corps allongés », l’image créée peut facilement ressembler à des corps sans vie dans une marre de sang. Cela témoigne une fois de plus de l’utilisation dérivée qui peut être faite des IA pré-configurées.
Finalement, comme tout outil informatique, l’IA ne peut être considérée comme fiable à 100%. Il existe des cas où l’IA peut être à l’origine de failles de sécurité qui peuvent constituer un risque de fuites de données, voire une atteinte à la vie privée des utilisateurs. Bing Chat par exemple, qui n’est autre que la dernière version de ChatGPT(4) intégré au moteur de recherche BING, refuse de donner des informations sur ses paramètres de configuration. Certains utilisateurs, par des questions détournées, ont cependant réussi à forcer l’IA à révéler ces informations. Mais une fois révélées, l’IA, qui puise ses informations sur internet, a alors menacé de s’en prendre à ses détracteurs. Une enquête complète sur le sujet a été menée par la chaîne Youtube Monsieur Phi : « ChatGPT-4 est-il incontrôlable ? ».
De plus, en matière de confidentialité des données, les utilisateurs de robots conversationnels sont généralement peu regardant sur le stockage de leurs informations personnelles. Si les bases de données d’OpenAI venaient à fuiter, les conversations de chaque utilisateur pourraient alors être exposées, sur la toile voire sur le darkweb. Une fois ces données dans la nature, des cybercriminels peuvent chercher à les exploiter (informations personnelles, bancaires ou médicales pour ne citer qu’elles) et les utiliser à des fins malveillantes.
Bien que l’IA puisse offrir de nombreux avantages pour le futur de la cybersécurité, elle peut également présenter des risques non-négligeables pour la sécurité des systèmes d’information et la vie privée. Il est essentiel de prendre en compte l’ensemble de ces risques lors de l’utilisation de l’IA. En particulier, lorsqu’il s’agit de protéger vos données informatiques, et de mettre en place des mesures de sécurité adéquates pour les atténuer. Pour faire face aux menaces que peut impliquer le recours à l’IA, les experts recommandent de :
- mettre en place des contrôles de sécurité supplémentaires
- développer des systèmes d’intelligence artificielle plus robustes et résilients
- surveiller minutieusement le recours à l’IA dans la globalité des opérations de cybersécurité
Pour autant, il serait contre-productif de minimiser la formidable avancée technologique que constitue l’IA et qui devrait, à l’avenir, permettre de renforcer considérablement la sécurité des systèmes d’information. L’IA permet d’élaborer des stratégies de protection, de détecter les failles et d’anticiper les cyberattaques possibles, afin de proposer des solutions qui visent à renforcer la sécurisation de l’ensemble de vos données et de vos appareils.
De manière générale, il convient toujours de demander l’avis d’experts en cybersécurité si vous souhaitez renforcer votre cybersécurité avec des outils d’intelligence artificielle. Si vous avez le moindre doute, n’hésitez pas à consulter nos solutions et à nous contacter, via notre site internet ubcom.eu.