L’IA m’a hacker

ChatGPT, Deepfake, Dall-E… l’Intelligence Artificielle ressemble de plus en plus à un humain. Elle en a le style, l’écriture, peut-être même le talent ? Pas sûr que son père spirituel, Alan Turing, lui-même, puisse distinguer la copie produite par le robot de celle d’un compatriote en chair et en os. Pas plus qu’il ne puisse faire la différence entre ce même robot et un hacker portant hoodie et masque Anonymous. Au lieu de regretter le monde d’avant et de redouter une ère de fainéants où plus personne ne ferait rien, il est peut-être temps de considérer ChatGPT et consorts comme un inépuisable rival, donnant l’occasion aux virtuoses du numérique de se surpasser.

Lestienne
Par Marc Lestienne Publié le 9 mars 2023 à 5h13
Intelligence Artificielle Ia
@shutter - © Economie Matin
10 MILLIARDS $Microsoft a investi 10 milliards de dollars dans ChatGPT

On ne vous fera pas l’affront de vous rappeler des chiffres que vous avez vus partout. Oui, ChatGPT bat des records d’audience. Oui, ses concurrents directs vont bientôt inonder le marché de la création de contenus avec l’Intelligence Artificielle. Mais si les marketeux et autres communicants sont en sueur, les experts de la cybersécurité doivent aussi rester attentifs. Car il n’est pas impossible que la révolution de l’IA vienne également toquer à leur porte. La démocratisation des outils de création pourrait bien changer drastiquement la pratique du phishing par exemple. Fini les e-mails douteux, ponctués de fautes d’orthographes et toujours un peu à côté de la plaque : tantôt trop amical, tantôt terriblement obséquieux, puis soudainement autoritaire. Terminé les modèles d’e-mails copiés-collés, jamais vraiment adaptés à leur cible. L’hameçonnage pourra désormais s’industrialiser en même temps qu’il s’affine : les e-mails seront personnalisés grâce au gain de temps et à la complexification de l’IA. Là où vous glissiez immédiatement un étrange courriel dans la corbeille, vous pourriez être tenté de considérer, et donc de traiter, cet e-mail si lambda qu’il en paraît innocent. Quel que soit le secteur, l’illusion saura de plus en plus avoir l’air réelle. Plus que jamais, les services IT devront donc former leurs collaborateurs et les sensibiliser aux risques de cyberattaque, car elles seront de plus en plus raffinées et ainsi de moins en moins détectables.

Partir à la pêche avec des hameçons numériques toujours plus sophistiqués

Si l’IA permet de tenir une conversation dans un français digne de Voltaire, ou presque, elle peut aussi servir à imiter, avec une inquiétante vraisemblance, le visage de personnes réelles. C’est le cas du deepfake, qui permet, avec des algorithmes, de créer des fausses photos ou vidéos, empruntant des visages à n’importe quelle personne ayant laissé une trace sur le Web (gros catalogue). À ce stade, c’est évidemment très amusant de voir se tortiller la Reine Elizabeth (paix à son âme) dans un mème endiablé. Mais beaucoup moins tordant si cette technologie permet d’emprunter le visage de votre DRH dans un e-mail sur-mesure, vous demandant de confier vos codes confidentiels et permettant ainsi de faire rentrer un bon vieux cheval de Troie dans votre Système d’Information. 

Dans son premier rapport publié en juin 2022, l’Observatoire du laboratoire d’innovation d’Europol s’est d’ailleurs inquiété de la “sophistication de cette technologie” et de “la multiplication des menaces” que cet hypertrucage représentait. Pas seulement, d’ailleurs, pour les entreprises, mais pour les citoyens et la démocratie. L’observatoire pointait ainsi les menaces sociétales (incitation au désordre social), les menaces juridiques (falsification de preuves électroniques), les menaces personnelles (harcèlement et intimidation) et les cybermenaces traditionnelles (extorsion et fraude).

Vers Skynet et au-delà ?

Évidemment, les gardiens du numérique défendent leur créature. Non, elle ne répond pas aux demandes d’hameçonnage énoncées en tant que telles. Mais ce serait mésestimer la créativité de cyberattaquants parfaitement au fait des failles toujours plus nombreuses par lesquelles ils peuvent s’engouffrer. 

D’ailleurs, l’agent conversationnel est capable d’entretenir une relation avec un autre non humain. L’IA se parle en effet déjà à elle-même en optimisant des textes pour le SEO. Et si elle est suffisamment généreuse pour le faire dans notre langage, rien ne l’empêche donc, d’utiliser le langage binaire avec d’autres machines. Le média américain Bleeping Computer a récemment remarqué que ChatGPT était capable de rédiger du code informatique utilisable pour fabriquer un logiciel malveillant (malware). En frottant un peu son clavier (à défaut d’une vraie lampe), il est donc tout à fait possible de demander au génie, de générer du code. L’outil fournira ensuite toutes les lignes nécessaires à la création du programme informatique.

Quand l’IA pousse les cybercriminels au chômage

À bien y regarder, le calife pourrait d’ailleurs prendre la place du calife. Il est envisageable que ces IA toujours plus ingénieuses donnent des sueurs froides aux cybercriminels eux-mêmes. Face à ces technologies de plus en plus autonomes et précises, de nouveaux cyberdélinquants de tous horizons, sans compétences ni connaissances particulières en informatique, pourraient bien leur voler la vedette, en interrogeant suffisamment bien le robot conversationnel. 

En début d’année, France 24 relevait d’ailleurs  que des messages commençaient à fleurir sur les forums spécialisés:  "Gagnez 1 000 dollars par jour grâce à ChatGPT", "Une méthode simple pour se faire de l'argent avec ChatGPT". Plus que sa capacité à s’exprimer dans une grammaire enfin correcte, c’est aussi le fait qu’il puisse restituer à la perfection un vocabulaire de sachant, qu’importe le secteur professionnel (y compris les plus techniques) qui inquiète. Si vous ne voulez pas répondre à un agent malveillant sans le vouloir, vous avez tout intérêt à connaître vos collègues et leur manière de s’exprimer par écrit.

Il serait tentant de baisser les bras. De laisser la technologie s’emballer, les robots répondre aux robots, l’IA chercher elle-même la solution à ses propres vices. Attendre que l’IA se hacke elle-même, se dédouanant de toute responsabilité. Mais les développeurs et experts de la cybersécurité auraient tort de passer à côté d’une telle opportunité de dépasser leurs limites.

Le robot, mon meilleur rival

Entre progrès et menaces, à nous, spécialistes du numérique, de considérer l’évolution fulgurante de la technologie, y compris dans ses plus sombres aspects, comme faisant partie intégrante de la cybersécurité. Chaque nouvel outil repousse un peu plus les frontières entre technologie et pensée humaine.

Dans ce combat qui ressemble de plus en plus à un David contre Goliath version 3.0, les armes les plus affûtées seront pourtant bel et bien celles qui nous différencient des robots : l’interprétation de l’information, l’éducation et la sensibilisation aux bonnes pratiques, la formation adaptée et continue aux différentes typologies de métiers, mais aussi la communication entre équipes, notamment entre les services et la direction.

Ce n’est que le début de ce qu’on appelle le “security by design” (ou “sécurité par la conception”), c’est-à-dire la capacité à penser la sécurité et le risque lié aux logiciels dès sa conception, pour réduire le nombre de failles et non réagir uniquement en cas de défaillance. L’idée sous-jacente ? Si ChatGPT peut créer des vocations chez les cyberdélinquants, elle devrait aussi créer une nouvelle armée de développeurs éthiques passionnés par leur métier. 

Avis aux amateurs, aux passionnés de code et autres curieux de l’IA. Le numérique est dans le top 3 des métiers d’avenir ! C’est le moment de défier la machine dans un jeu grandeur nature.

On vous l’assure, cette tribune n’a pas été écrite par ChatGPT.

Laissez un commentaire
Lestienne

Marc Lestienne est le DSI adjoint du groupe Prodware. Diplômé d'un Master en Informatique, il a mis à profit ses compétences en tant qu'ingénieur & responsable informatique au cours de ces quinze dernières années. Il est intimement persuadé que la DSI doit fortement s'ouvrir vers l'extérieur, condition sine qua none d'une adoption des solutions qu'elle porte.

Aucun commentaire à «L’IA m’a hacker»

Laisser un commentaire

* Champs requis