Les cybermenaces augmentées par l’IA : remettre les pendules à l’heure

Les cybermenaces augmentées par l’IA : remettre les pendules à l’heure

Piratage automatisé, hypertrucages convaincants, courriels d’hameçonnage parfaitement rédigés… L’adoption des outils d’intelligence artificielle par les cybercriminels suscite de plus en plus de craintes. L’angoisse face aux cybermenaces augmentées par l’IA est-elle toutefois réellement fondée ? 

Pour lire la version animée et interactive de cet article dans le magazine LES CONNECTEURS (page 18) :

D’entrée de jeu, Andréanne Bergeron, directrice de la recherche chez GoSecure, répond par la négative : « Des cyberattaques facilitées par l’IA, on n’en voit pas vraiment. » Par exemple, les fraudes de type « grands-parents », qui seraient aujourd’hui beaucoup plus convaincantes grâce au clonage de voix par IA, relèveraient plus du mythe que de la réalité. Car même si, en théorie, ces menaces pourraient prendre de l’ampleur grâce à l’IA, il manque de preuves concrètes pour démontrer hors de tout doute la prolifération généralisée de ces attaques.

Andréanne Bergeron. (Photo : LinkedIn)

L’absence de preuves concrètes n’écarte toutefois pas l’existence du phénomène, nuance Andréanne Bergeron. Après tout, les technologies existent, et elles sont aujourd’hui à la portée de tous. Mais l’impact de ce genre d’attaques reste à être étudié. Pour ce faire, la chercheuse imagine tester ces technologies prétendument utilisées par les cybercriminels, par exemple, en fabriquant un hypertrucage (deepfake) du président d’une compagnie, puis en testant l’arnaque auprès de ses employés, ce qui permettrait d’en documenter les effets.

Les cybermenaces « traditionnelles » toujours d’actualité

Pour l’experte en cybersécurité, si l’IA ne semble pas avoir été adoptée aussi largement par les cybercriminels, c’est parce que les cybercimes « traditionnels » réussissent toujours. Par exemple, les attaques par rançongiciel — la cybermenace numéro un visant les entreprises québécoises — n’ont pas besoin d’être facilitées par l’IA pour faire des ravages contre leurs victimes. 

« Les criminels ne s’attarderont pas à adopter une nouvelle technologie alors que les attaques actuelles fonctionnent déjà très bien sans elle », explique la chercheuse. De plus, celle qui a obtenu son doctorat en criminologie indique que les criminels n’ont jamais été à l’avant-garde des technologies, particulièrement quand vient le temps de les instrumentaliser pour frauder. « Généralement, les criminels font avec ce qu’ils ont sous la main », souligne-t-elle, rappelant que des fraudes très faciles à reconnaître, comme celle du prince nigérien, sont toujours fréquemment utilisées aujourd’hui.

Pas si évident d’utiliser les technologies d’IA

Si l’apocalypse des cyberattaques facilitées par l’IA n’est toujours pas à nos portes, comment expliquer une telle crainte autour du phénomène? Pour Andréanne Bergeron, ces inquiétudes découlent d’un manque de compréhension de la facilité d’utilisation de ces technologies. L’exécution d’une « fraude au président », augmentée par l’IA, par exemple, nécessiterait une préparation très poussée : il faudrait notamment collecter un nombre suffisant de vidéos du patron d’une compagnie pour générer un hypertrucage convaincant, en plus de trouver et de réussir à appâter un employé en mesure de faire le virement bancaire. « C’est bien plus difficile à exécuter qu’on l’imagine, à première vue », soutient la chercheuse. 

Apparue vers 2005, la fraude au président consistait à ses débuts à usurper l’identité du président ou du responsable financier d’une organisation afin de tromper un employé et pousser ce dernier à effectuer un ou plusieurs transferts de fond non autorisés au profit des fraudeurs

– Chaire de recherche en prévention de la cybercriminalité

Idem pour le piratage informatique automatisé, un type d’attaque qui existait bien avant la prolifération des outils d’IA disponibles au grand public. « ChatGPT est utile pour répondre à des questions, mais pour générer du code, ou pour créer un virus, ça ne vous servira pas à grand-chose », indique Andréanne Bergeron, qui croit que l’IA peut effectivement faciliter la tâche des cybercriminels qui savent l’utiliser, mais qui ne transformera pas les criminels inexpérimentés en génies!

L’IA, un atout pour les professionnels de la cybersécurité 

Pour l’heure, la démocratisation des outils d’IA semble représenter une opportunité plutôt qu’une menace pour les professionnels de la cybersécurité. Par exemple, grâce à l’IA, les entreprises peuvent désormais plus facilement automatiser le filtrage des cybermenaces. « On aura toujours besoin des humains, mais maintenant, on a plusieurs analystes », indique Andréanne Bergeron. 

Même si une grande partie des craintes actuelles quant à l’usage de l’IA à des fins malveillantes sont infondées, l’experte en cybersécurité croit qu’il reste important de continuer à en parler, pour sensibiliser les gens aux menaces qui pourraient émerger à l’avenir. « La technologie est accessible, puissante et incroyable », juge Andréanne Bergeron. Rester à l’affût des conséquences qu’elle peut infliger aux entreprises demeure un exercice important. « Pour une fois qu’on a une longueur d’avance! », conclut l’experte.