Comment les cybercriminels utilisent l'intelligence artificielle (Benoit Grünemwald, Eset)

Benoit Grunemwald :
[0:00] J'ai en tête notamment une société hongkongaise où un utilisateur s'est retrouvé dans une vidéoconférence avec des gens qu'il pensait être des collègues. Et en fait, c'était son collègue principal et son boss, c'était en fait une intelligence artificielle.

Monde Numérique :
[0:17] Et on parle cybersécurité à présent dans le monde numérique en partenariat avec ESET. Je suis ravi de retrouver Benoît Grunemwald, expert cybersécurité chez ESET. Salut Benoît.

Benoit Grunemwald :
[0:27] Bonjour Jérôme.

Monde Numérique :
[0:27] On s'intéresse aujourd'hui à l'intelligence artificielle dans la cybercriminalité. C'est vrai qu'on dit depuis quelques temps que les cyberpirates utilisent de plus en plus l'IA, ce qui évidemment est plutôt une mauvaise nouvelle. Mais alors, de quelle manière exactement ? Comment ça se concrétise ? Est-ce que tu peux nous expliquer ça ?

Benoit Grunemwald :
[0:46] Oui, effectivement, il y a plusieurs usages. Et alors, on voit que les LLM, les dernières avancées de l'intelligence artificielle, sont très utilisées forcément pour le texte, mais sont aussi utilisées pour le développement de petits logiciels et ou pour l'interrogation de ces fameux

Benoit Grunemwald :
[1:06] agents conversationnels pour mieux comprendre le contexte de ceux qu'ils vont attaquer.

Monde Numérique :
[1:11] C'est-à-dire qu'avant, on recevait des messages de spam, de pirates, qui étaient écrits dans un très mauvais français. Bon, c'était facile pour les détecter, mais ce n'est plus le cas aujourd'hui. C'est grâce au LLM.

Benoit Grunemwald :
[1:22] Exactement, grâce au LLM. Et d'ailleurs, on pourrait se dire que pour détecter un email d'hameçonnage, il faudrait se demander si, au contraire, s'il n'est pas trop bien écrit, est-ce que ça ne viendrait pas de l'intelligence artificielle ? Et ce que l'on voit aussi, c'est que les cybercriminels se professionnalisent dans la distribution de ces messages et créent des templates, des services complets qu'ils vont relouer à d'autres pour pouvoir mener des campagnes d'hameçonnage. Dans leur package, il y a des spécialistes qui vont créer ces e-mails d'hameçonnage pour les différents pays, ainsi pouvoir envoyer un très grand nombre de messages, mais de manière beaucoup plus professionnelle qu'ils ne le faisaient avant.

Monde Numérique :
[1:58] Ça permet vraiment de localiser, géolocaliser les attaques en fonction des pays. Alors ça, Benoît, c'est ce qu'on appelle l'ingénierie sociale. C'est-à-dire, c'est comme si c'était des humains vraiment qui nous parlaient

Monde Numérique :
[2:10] et qui essayaient de nous tromper, mais il n'y a pas que ça, j'imagine.

Benoit Grunemwald :
[2:13] Oui, et d'ailleurs, en parlant d'humains qui essayent de nous tromper, on a vu notamment des arnaques basées sur des deepfakes vidéo ou audio, ou les deux, qui ont emmené certains utilisateurs dans des entreprises qui avaient des postes, bien entendu, avec des accès aux finances et qui les ont amenés à faire des virements. Et j'ai en tête notamment une société hongkongaise où un utilisateur s'est retrouvé dans une vidéoconférence avec des gens qu'il pensait être des collègues. Et en fait, c'était son collègue principal et son boss, c'était en fait une intelligence artificielle. Et grâce à cette intelligence artificielle, ils ont réussi à le convaincre de faire des cinq virements et pour un montant de plus de 23 millions d'euros de mémoire.

Monde Numérique :
[2:55] C'est incroyable et c'est évidemment très effrayant. Et d'ailleurs, Benoît, je crois qu'il y a un deepfake récemment qui a circulé sur des groupes Telegram, etc., qui était une fausse vidéo ciblant les Jeux Olympiques.

Benoit Grunemwald :
[3:07] Effectivement, là, on est passé au niveau hollywoodien, c'est-à-dire que les cybercriminels utilisent les acteurs. Alors là, c'était Tom Cruise qui a été utilisé comme deepfake pour présenter de prétendues allégations sur les organisations des Jeux Olympiques, à savoir que les organisateurs seraient corrompus et qu'il y aurait des problèmes très concrets avec les Jeux Olympiques. Et bien entendu, c'est un deepfake. Tom Cruise n'a jamais tourné Olympic Has Fallen. Et malheureusement, ça tourne, comme tu le dis. Donc, il faut être vigilant,

Benoit Grunemwald :
[3:37] nous, en tant qu'utilisateurs. Fax checker, double checker, vérifier qui est la source. Parce qu'aujourd'hui, les défenseurs, en termes de détection de vidéos deepfake, eh bien, on a des outils, mais ce n'est pas encore aujourd'hui vraiment déployé.

Benoit Grunemwald :
[3:52] Et ça veut dire qu'en fait, la vigilance, elle est du côté de l'utilisateur.

Monde Numérique :
[3:56] Est-ce que les pirates utilisent également l'IA pour fabriquer des codes malveillants ?

Benoit Grunemwald :
[4:01] Oui, alors dans les IA publics, il y a forcément des limitations qui sont mises par les fournisseurs. On n'est pas obligé de dire à l'IA que le logiciel qui va nous servir à, par exemple, chiffrer les données est en fait destiné à être un rançongiciel. On ne va pas dire à l'IA que l'on va utiliser ce qu'il va nous permettre de faire de manière illégale. Donc on peut aussi attaquer l'IA entre guillemets à partir du moment où on arrive à toucher ses limites et ça devient également un sport pour les cybercriminels

Benoit Grunemwald :
[4:28] de pouvoir s'appuyer sur ces modèles en détournant les restrictions qui leur sont imposées.

Monde Numérique :
[4:33] Et puis c'est pas fini, les pirates utilisent aussi l'IA pour des attaques basées sur le big data en fait d'une certaine manière.

Benoit Grunemwald :
[4:39] Oui effectivement alors ça c'est ce que nous apprend le LIC donc la fuite de données pour une fois d'un attaquant donc c'est une société chinoise qui a a priori beaucoup travaillé avec l'État, mais également pour d'autres entités privées. Et en fait, cette société qui a plusieurs objectifs, notamment le cyberespionnage, récupère un très grand nombre d'informations. Et comme nous, finalement, à la défense, il faut pouvoir traiter ce grand volume d'informations. Et bien, eux, depuis au moins 2020, ils ont utilisé des réseaux de neurones qui leur permettent d'analyser ce volume d'informations importants, notamment, par exemple, des échanges e-mail, pour savoir, pour pouvoir reconstituer l'organigramme de la société, définir qui est le boss de qui, notamment en fonction du ton et de la couleur utilisée dans les échanges et de pouvoir ainsi créer, finalement, avoir une vue d'ensemble qui serait très difficile à faire par un être humain. Et dans cet outil, ils avaient même un petit bouton qui était très sympathique, qui leur permettait, une fois qu'ils avaient trouvé des cibles, d'appuyer sur un bouton et d'envoyer de l'hameçonnage à ces cibles-là. Donc, quelque chose d'assez structuré et qui utilise les réseaux de neurones.

Monde Numérique :
[5:47] — Benoît, est-ce qu'on peut dire que, du coup, c'est plus facile pour les pirates de mener des attaques et qu'il leur faut moins de compétences ? Ou au contraire, ils sont obligés de développer des compétences nouvelles, savoir faire des promptes sur ChatGPT, par exemple, des choses comme ça ?

Benoit Grunemwald :
[6:02] Oui, c'est exactement ça. C'est-à-dire qu'on voit que la spécialisation des cybercriminels, auparavant, on pouvait avoir des développeurs, on pouvait avoir certains qui faisaient, entre guillemets, le marketing et la psychologie. On voyait, comme tu le disais, que les messages n'étaient pas forcément très précis ou très bien écrits. Eh bien, grâce à l'intelligence artificielle, ils peuvent monter en qualité, mais il faut pour autant maîtriser l'outil, ce qui veut dire qu'il faut se former et être tout à fait capable de faire un prompt qui tient la route. Donc, ils ont eux-mêmes besoin de se former à l'intelligence artificielle avant

Benoit Grunemwald :
[6:32] de pouvoir l'utiliser avec efficacité.

Monde Numérique :
[6:34] Alors ça, c'est pour la partie attaquant. Mais heureusement, ceux qui sont chargés de nous protéger, comme vous, chez ESET, les professionnels de la cybersécurité, utilisent aussi, bien sûr, l'intelligence artificielle.

Benoit Grunemwald :
[6:47] Oui, à plus d'un titre. Alors, ça fait depuis 1998 que nous avons des réseaux de neurones dans nos solutions. Parce qu'en fait, le volume, alors au début de logiciels malveillants et aujourd'hui de comportements malveillants, a connu une croissance exponentielle. Et aujourd'hui, par exemple, notre intelligence artificielle est basée sur plus de 4 milliards de paramètres, ce qui correspond à peu près à plus de 3 pétas d'octets de volume stocké. Et ça, ça nous sert à la fois pour détecter les logiciels et les comportements malveillants de manière très précise et très rapide, mais ça nous sert aussi à donner des éléments de contexte. Quand vous avez un chercheur qui travaille sur des attaques, il va tirer le fil rouge pour essayer d'arriver et de comprendre ce qui se passe. Par exemple, pour le leak dont je parlais précédemment sur la société chinoise, nous, on l'avait attribué, on avait donné un premier nom à cet acteur malveillant. Grâce au leak et grâce à l'analyse des différentes données, on va pouvoir regrouper peut-être des attaques que l'on pensait créer par différents groupes, sous un seul et même acteur malveillant.

Monde Numérique :
[7:54] Dans le futur, qu'est-ce qui va se passer, Benoît ? Ça va continuer la course à l'échalote, mais jusqu'où ça peut aller, cette hyper-sophistication des attaques,

Monde Numérique :
[8:04] du fait de l'intelligence artificielle ?

Benoit Grunemwald :
[8:07] Forcément, ça va prendre de l'ampleur. On a quelques exemples de virements, par exemple, qui ont été faits non pas grâce à un hameçonnage classique, mais bien grâce à l'utilisation de l'intelligence artificielle. Donc on peut se préparer à ce qu'il y ait de plus en plus ces usages-là ça veut dire que nous en tant que particuliers utilisateurs d'internet et du numérique il va falloir augmenter notre niveau de vigilance, Parce que côté défenseur, on va nous aussi forcément mettre en place un plus grand nombre de barrières, mais l'intelligence artificielle et l'usage détourné qu'en font les cybercriminels va quand même beaucoup plus nous impacter en tant que particuliers et on n'a pas à chaque fois sur tous nos outils numériques une solution qui va tout faire, antivirus, anti-hamsunage, anti-deepfake, etc. Donc le temps que ça arrive, il faut un peu se blinder et penser bien à fact-checker, à remettre dans son contexte, à double fact-checker et à s'assurer que ce que l'on voit est bien réel.

Monde Numérique :
[9:08] Oui, c'est de la cybersécurité. C'est à la fois des outils de cybersécurité. Il faut bien fermer la porte à clé, mais c'est aussi de la vigilance personnelle qui fait appel au bon sens, même si parfois c'est vite dit. Le bon sens peut vraiment être abusé. Merci beaucoup, Benoît Grénaval d'Experts Cybersécurité chez EZ.

Benoit Grunemwald :
[9:26] Merci Jérôme.