D’ici 2031, Cybersecurity Ventures prédit que les rançongiciels coûteront environ 265 milliards de dollars américains à leurs victimes. Alors qu’on « a atteint un niveau inédit tant dans la progression technologique que dans les menaces informatiques », comment faire pour se protéger efficacement en ligne?
Benoît Dupont
C’est la question à laquelle tentent de répondre collègues et diplômés de l’Université de Montréal (UdeM) lors de la conférence La cybersécurité à l’ère de l’intelligence artificielle, dont Benoît Dupont, professeur à l’école de criminologie et titulaire de deux chaires de recherche, Esma Aïmer, professeure au Département d’informatique et de recherche opérationnelle, et Chloé-Anne Touma, rédactrice en chef de CScience. L’événement, enregistré dans le cadre de la série « Au Carrefour des savoirs » de la Faculté des arts et des sciences de l’UdeM, et animé par la journaliste Chantal Srivastava, se tenait devant une salle comble de spectateurs, ainsi qu’en présence du secrétaire de la Faculté, et vice-doyen aux Affaires internationales, Carl Bouchard.
Le constat est clair : tout internaute est susceptible d’être victime d’une cyberattaque. L’âge, le statut social, l’éducation ne prédisposent pas des individus à être épargnés de ces menaces. « Les gens plus sensibilisés sont plus exposés et sont plus souvent victimes. Ils ont ce biais cognitif qui leur fait penser que leurs connaissances et leurs formations les protègent mieux, et donc, ils prennent plus de risques. Quand on sensibilise les gens, encore faut-il le faire avec discernement pour ne pas aggraver leur risque de devenir victimes », suggère Benoît Dupont, titulaire de la Chaire de recherche du Canada en Cyberrésilience.
Les menaces de l’IA en cybersécurité
Deepfake
Chantal Srivastava et Chloé-Anne Touma
Si avant, les cyberattaques étaient essentiellement initiées par l’intervention humaine, l’IA occasionne désormais de nouveaux risques relevant de l’hypertrucage (deepfake). M. Dupont explique que « l’IA permet de façonner des messages plus persuasifs et de manipuler les humains plus facilement. Ce sont des outils qui, lorsque mis à la disposition de cybercriminels ou de personnes malveillantes, vont avoir un pouvoir d’influence beaucoup plus important que ce qu’on avait constaté jusqu’à présent. »
La technique de l’hypertrucage permet de produire une vidéo entièrement falsifiée, dans laquelle on reconnaîtra un individu ou un proche, et aura pour but de tromper son entourage en lui faisant croire à un kidnapping ou à une libération de prison conditionnelle au paiement d’une caution, par exemple. Les criminels derrière ces stratagèmes s’attaqueraient autant aux individus qu’aux entreprises.
« L’IA permet de façonner des messages plus persuasifs et de manipuler les humains plus facilement. » – Benoît Dupont, titulaire de la Chaire de recherche du Canada en Cyberrésilience
En janvier, une employée d’une multinationale hongkongaise a assisté à des réunions en vidéoconférence de quelqu’un prétendant être son supérieur, et lui demandant de transférer de l’argent vers des comptes bancaires désignés. Résultat : près de 26 millions de dollars américains ont été virés aux cybercriminels.
L’IA facilite aussi les risques de divulgation malveillante d’informations personnelles (doxing). Cette technologie simplifie la recherche de photos ou de renseignements personnels, qu’ils soient sur une page privée, publique, ou même supprimée.
La conférence se tenait au Pavillon Jean-Brillant de l’UdeM, devant une salle comble d’intéressés
Même si presque tout le monde a déjà entendu parler de l’existence d’outils de création de vidéos artificielles et hyperréalistes, tels que Pika sur Discord, « très peu de gens en ont fait l’essai et savent comment y accéder », soulève notre rédactrice en chef, Chloé-Anne Touma, ce qui dénote, selon elle, la manifestation d’une fracture numérique évidente. Elle illustre son propos en sondant les spectateurs présents dans la salle, dont une grande majorité lèvent alors la main pour signifier connaître ces outils, mais une infime portion indiquent les avoir testés.
Pika 1.0 : le nouvel outil d’IA gratuit pour générer des vidéos en moins de 2 minutes
Sextorsion
La forte empreinte numérique des enfants et des adolescents les met également à risque. Une étude de Nominet révèle qu’à l’âge de cinq ans, un enfant a près de 1 000 photos de lui publiées en ligne, en moyenne. 75% des parents mettent des photos de leurs enfants en ligne, et 80% ne savent pas à qui sont accessibles ces publications. « Il faut limiter les publications que l’on met sur les réseaux sociaux, parce que vous pouvez ruiner – et je pèse mes mots – l’avenir de vos enfants et de vos petits-enfants si vous ne faites pas attention », met en garde la directrice du Laboratoire d’Intelligence Artificielle pour la Cybersécurité Esma Aïmeur.
[Émission C+Clair] Cyberintimidation, comment préserver nos enfants ?
Une forte présence de données en ligne met aussi les adolescents à risque d’être victimes de sextorsion ou de cyberintimidation. En 2023, l’organisme Cyberaide rapportait une augmentation de 150% de signalements de sextorsion chez les adolescents canadiens en l’espace de six mois, pointe Chloé-Anne Touma.
Cyberintimidation et sextorsion : quand des adolescentes se donnent la mort
En mode solution
« On ne peut pas éliminer les menaces, mais on peut éviter de les subir », lance Chantal Srivastava, animatrice de la conférence et journaliste à Radio-Canada. Parmi les solutions présentées, les panélistes donnent quelques conseils de base sur les meilleures pratiques, et recommandent le recours à des formations pour s’éduquer quant aux dangers du numérique.
1. Des conseils
Aussi évidentes qu’elles puissent paraître, les bonnes habitudes de cyberhygiène méritent un rappel : choisir des mots de passe forts (qui comportent au moins 14 caractères, dont des chiffres et des caractères spéciaux), variés d’un site à l’autre ; utiliser l’identification à deux facteurs ; réagir directement lorsqu’une menace est détectée ; fermer les fenêtres web non utilisées ; supprimer les applications moins fréquentées ; ne pas utiliser un réseau public pour des activités privées ; etc.
Au-delà de ces conseils de base, Mme Aïmeur recommande également de faire de la veille technologique, en regardant sur internet ce qui se dit sur soi. Le site have i been pwned? permet de vérifier si vos courriels ont été trouvés dans des fuites des données. « Vous avez besoin de savoir ce qui se dit sur vous », insiste-t-elle.
Chloé-Anne Touma rappelle que 95% des cas de failles de cybersécurité sont dûs à l’erreur humaine, tel qu’indiqué dans le rapport IBM 2023, et rappelle qu’au Québec, les cyberattaques contre des municipalités ont coûté au-delà de 250 millions de dollars aux contribuables en trois ans. Les panélistes insistent sur l’importance pour les organisations et employeurs d’offrir des formations numériques à leurs employés. Pensons à Cyber101, qui propose une formation gratuite afin d’outiller employés et employeurs en cybersécurité, ou encore aux blog, formations et ateliers d’Humanet.
« Les acteurs malveillants vont essayer de jouer sur cette tendance naturelle de l’humain à détester perdre des opportunités pour vous manipuler. »
– Benoît Dupont, titulaire de la Chaire de recherche du Canada en Cyberrésilience
Pour les hypertrucages, il n’y a pas de remède miracle, maintiennent les conférenciers. Cependant, en observant dans une vidéo le contour du visage, la lumière, le clignement des yeux, les mains, certains détails peuvent permettre d’identifier des clones faits par IA. Une autre solution pour éviter de se faire arnaquer en raison de l’hypertrucage est de s’entendre avec ses proches sur un mot de code pour s’authentifier mutuellement.
Benoît Dupont invite les internautes à « ralentir toutes les actions qui vous paraissent aller trop vite en ligne. (Les acteurs malveillants) essaient de créer un sentiment d’urgence pour vous demander des renseignements, vous proposer d’investir tout de suite (…) Les acteurs malveillants vont essayer de jouer sur cette tendance naturelle de l’humain à détester perdre des opportunités pour vous manipuler. »
En cas d’attaque, il importe de signaler les fraudes et de ne pas s’isoler. Benoît Dupont a justement co-fondé une clinique de Cyber-Criminologie à l’UdeM visant à offrir un soutien et des ressources d’aide pour accompagner les victimes de cybercriminalité dans leur démarche post-incident.
2. Solutions technologiques
98% des solutions technologiques de cybersécurité (logiciels de sécurité, pare-feu) sont faites à l’étranger, remarque Chloé-Anne Touma, « ce qui soulève des questions et des doutes en contexte de conflit géopolitique et d’espionnage industriel. Pourtant, on investit énormément dans le développement de solutions de cybersécurité au Québec. »
Au Québec, de nombreux outils technologiques existent en matière de sécurité en ligne. VerifAI détecte les demandes d’informations dangereuses dans des courriels paraissant inoffensifs. V7Labs vise à détecter si une image a été modifiée par une IA.
D’autres outils, créés hors Québec, se consacrent à repérer si un texte est généré par de l’IA. Huggingface réunit une communauté d’experts en apprentissage machine afin de mettre en commun leurs connaissances de manière « open source » (en données ouvertes). Il est aussi possible de demander à des outils d’IA générative (IAG) d’examiner des courriels et d’identifier des signes de fraudes.
3. Sensibilisation et interdisciplinarité
Benoît Dupont lance un appel au gouvernement afin qu’il investisse davantage dans les campagnes de sensibilisation en cybersécurité, en misant surtout sur les plateformes que consultent les jeunes, comme YouTube, où 86% des adolescents québécois regardent des vidéos. « Les jeunes passent beaucoup d’heures sur YouTube. On pourrait financer et soutenir des influenceurs qui propagent des messages regardés par des millions de jeunes », propose-t-il.
La sensibilisation à la cybersécurité joue un rôle crucial dans la prévention des cybercrimes. Des ressources comme Cybercap, l’AESTQ, CScience Le Lab et le CQÉMI offrent des ateliers de formation et de sensibilisation aux nouvelles technologies et aux meilleures pratiques.
Mieux comprendre l’IA, ses conséquences sur la sécurité en ligne et ses impacts sociaux demande une grande interdisciplinarité. Des centres comme l’Institut multidisciplinaire en cybersécurité et cyberrésilience favorisent la collaboration entre différents milieux de recherche.
« L’interdisciplinarité est très importante. Il y a beaucoup de consultations qui sont en train d’être menées. Le Conseil de l’innovation en a fait tout un rapport, Prêt pour l’IA. En discutant avec l’innovateur en chef, Luc Sirois, on s’est demandé si on est réellement allé chercher tout le monde, dont la population générale et les médias, qui n’étaient pas une partie assez prenante de ce débat », ajoute notre rédactrice en chef.
Crédit Image à la Une : iStock
[Analyse] Le rapport « Prêt pour l’IA » : une avancée majeure, malgré quelques angles morts
Crédit Image à la Une : Chantal Srivastava, Chloé-Anne Touma, Benoît Dupont et Esma Aïmer
