Vecteurs d’attaques générés par l’IA

Mesures proactives pour une meilleure cybersécurité

« La connaissance, c’est de savoir que Frankenstein n’est pas le monstre. La sagesse, c’est de savoir que Frankenstein est le monstre. »

La connaissance consiste, en effet, à reconnaître que Frankenstein fait référence au savant fou qui a créé la créature, et non à la créature elle-même. Cependant, la sagesse réside dans la compréhension que la créature – souvent appelée à tort Frankenstein – est un monstre tragique et incompris. Dans les pages du roman classique de Mary Shelley intitulé Frankenstein, le scientifique Victor Frankenstein donne vie à la créature grâce à une expérience scientifique.

De nos jours, à la lumière de cette histoire, les scientifiques ont donné vie au monstre qui a sans aucun doute révolutionné de nombreuses industries, mais malheureusement, il a également ouvert de nouvelles voies pour les cybercriminels.

L’utilisation de l’intelligence artificielle (IA) pour perpétrer des attaques complexes, souvent appelées vecteurs d’attaque par l’IA, est l’un des phénomènes les plus préoccupants de ces derniers temps. Ces vecteurs d’attaque exploitent avec ruse des technologies d’IA telles que le traitement du langage naturel (TLN), l’apprentissage automatique et l’apprentissage profond pour concevoir des escroqueries très convaincantes, manipuler du contenu multimédia, et tromper des victimes sans méfiance.

Dérivés du concept correspondant de vecteur en biologie, les vecteurs d’attaque dans les domaines de la cybersécurité sont des trajectoires ou des scénarios particuliers qui peuvent être exploités pour s’introduire dans un système informatique, compromettant ainsi sa sécurité.

À notre époque contemporaine, la progression véloce et l’intégration de l’IA dans divers secteurs ont non seulement produit une transformation en termes d’efficacité et de capacité fonctionnelle, mais ont également ouvert une nouvelle frontière dans les défis auxquels la cybersécurité est confrontée. De telles circonstances de menace évolutives façonnées par l’IA soulignent la nécessité de contre-mesures et d’une sensibilisation robuste tandis que nous nous habituons à ce domaine d’expertise nouvellement complexe et en évolution rapide.

Dans cette infolettre, nous mettons l’accent sur l’application de l’IA dans des attaques de système, plutôt que d’approfondir les attaques ciblant spécifiquement les systèmes d’IA, qui constituent un sujet distinct.

Définition concise d’un vecteur d’attaque par l’IA

Un vecteur d’attaque engendré par l’IA est une voie ou une méthode utilisée par un pirate informatique pour accéder illégalement à un réseau ou à un ordinateur dans le but d’exploiter les vulnérabilités du système. Les pirates informatiques utilisent un grand nombre de vecteurs d’attaque pour déclencher des attaques qui profitent des faiblesses du système, provoquent une violation de données ou volent des codes d’entrée d’authentification communément appelés justificatifs d’ouverture de session ou clés d’accès aux informations de connexion.1

De telles méthodes de piraterie impliquent le partage des logiciels malveillants et des virus informatiques, des pièces jointes malfaisantes par courriel et des liens Web malveillants, des fenêtres contextuelles et des messages instantanés dans lesquels l’attaquant parvient à duper un employé ou un utilisateur individuel.

De nombreuses attaques vectorielles visant la sécurité sont motivées par des raisons financières, lesquelles poussent les attaquants à voler de l’argent à des personnes et à des organisations, ou des données et des renseignements personnels identifiables (RPI) pour ensuite exiger une rançon des propriétaires. Les catégories de pirates informatiques qui infiltrent un réseau sont très variées. Il pourrait s’agir du crime organisé, d’anciens employés mécontents, de cyberactivistes, de groupes de pirates informatiques, ou de groupes parrainés par un État.

[1] FORTINET. What is an Attack Vector? Types & How to Avoid Them (fortinet.com)

Types d’attaques alimentées par l’IA

Hameçonnage

Les attaquants peuvent tirer parti de l’IA pour générer des courriels d’hameçonnage convaincants qui imitent le style d’écriture et les schémas de communication des expéditeurs légitimes, les rendant ainsi plus difficiles à détecter.

La prolifération d’outils d’IA malveillants tels que WormGPT et FraudGPT a rationalisé l’orchestration et amélioré l’efficacité de ces attaques. Contrairement aux courriels rédigés par des humains, ceux générés par l’IA sont remarquablement exempts d’erreurs et cohérents. De plus, l’IA peut créer des courriels d’hameçonnage dans plusieurs langues, leur conférant une apparence d’authenticité. En outre, les attaques de harponnage personnalisées, ciblant des individus ou des organisations spécifiques, sont désormais facilitées par l’IA.

Il est de plus en plus difficile d’identifier les courriels d’hameçonnage générés par l’IA en raison de leur grande qualité. Il est choquant de constater que, selon le rapport 2023 Egress Phishing Threat Trends Report, 71 % des attaques par courriel générées par l’IA ne sont pas détectées par les outils de filtrage. Pour détecter les tentatives d’hameçonnage potentielles, tenez compte des points suivants :

  • Comparez le contenu du courriel avec les communications précédentes de l’expéditeur présumé. Des incohérences dans le ton, le style ou le vocabulaire peuvent éveiller les soupçons.
  • Faites attention aux salutations génériques (« Cher utilisateur » ou « Cher client ») plutôt qu’aux salutations personnalisées.
  • Soyez prudent si un courriel contient des pièces jointes inattendues ; vérifiez leur légitimité par d’autres moyens
  • Soyez vigilant lorsque la demande est assortie d’un facteur d’urgence. Les courriels d’hameçonnage insistent également sur la confidentialité. En règle générale, ces demandes s’écartent des procédures habituelles de l’organisation.

La principale leçon que l’on peut tirer des courriels d’hameçonnage est qu’il ne faut jamais prendre un courriel pour argent comptant. Il ne coûte pas grand-chose de confirmer.

71 % des attaques par courriel générées par l’IA ne sont pas détectées par les outils de filtrage.

2023 Egress Phishing Threat Trends Report

Clonage vocal

Les algorithmes d’IA peuvent reproduire les voix avec une précision remarquable, permettant ainsi aux fraudeurs de se faire passer pour des personnes lors des appels téléphoniques ou des messages vocaux afin de tromper leurs victimes.

Par exemple, le clonage vocal peut être utilisé pour se faire passer pour des individus de confiance ou des figures d’autorité, augmentant ainsi les chances de tromper la cible en suivant des instructions malveillantes ou en révélant des données sensibles. À mesure que l’IA continue de progresser, le potentiel de détournement avec des techniques d’ingénierie sociale augmente, soulignant la nécessité d’une sensibilisation accrue et de mesures de sécurité robustes pour contrer ces menaces.

Selon la Federal Trade Commission des États-Unis, les escroqueries d’usurpation d’identité, qui peuvent impliquer le clonage vocal, ont été le type de fraude le plus fréquemment signalé en 2022, avec plus de 5 000 victimes ayant perdu 11 millions de dollars américains. Une étude mondiale de McAfee a révélé qu’une personne sur quatre interrogée avait déjà vécu ou connaissait quelqu’un ayant été victime d’une arnaque de clonage vocal par IA. Ces statistiques mettent en évidence la préoccupation croissante concernant l’utilisation abusive des technologies d’IA et l’importance de développer des mesures de sécurité solides pour se protéger contre de telles fraudes.

Pour détecter les schémas de clonage vocal, voici quelques points à considérer :

  • Écoutez les intonations et les modèles de parole inhabituels, qui peuvent indiquer une voix synthétique.
  • Soyez attentif aux anomalies dans les voix familières, telles que des choix de langage inattendus ou des intonations particulières.
  • Utilisez un logiciel d’analyse vocale avancé pour détecter les signes de manipulation dans l’audio.
  • Mettez en place des systèmes d’authentification vocale en temps réel pour vérifier l’identité lors des appels.
  • Surveillez les incohérences dans la communication, comme des émotions discordantes ou des réponses contextuellement étranges.
  • Sensibilisez les employés et les collègues aux risques du clonage vocal et à la reconnaissance des appels suspects.
  • Établissez des protocoles de vérification d’identité dans les situations où le clonage vocal est un risque potentiel.

Ces mesures peuvent aider les individus et les organisations à identifier et à se protéger contre l’utilisation abusive de la technologie de clonage vocal.

Vidéos hyperruquées (deepfakes)

En utilisant des algorithmes d’apprentissage profond, les malfaiteurs peuvent créer de fausses vidéos qui montrent de manière convaincante des individus disant ou faisant des choses qu’ils n’ont jamais faites, résultant ainsi à une atteinte à leur réputation ou à une perte financière. La technologie de l’hypertrucage constitue une menace importante, car elle permet la création de contenus audios et vidéos incroyablement vraisemblables pouvant être utilisés pour manipuler des individus et des organisations.

La détection des vidéos deepfake implique plusieurs techniques :

  • Indices visuels : Recherchez des incohérences dans la synchronisation labiale, les expressions faciales ou l’éclairage qui pourraient indiquer une manipulation.
  • Anomalies audio : Soyez attentif aux irrégularités dans la voix ou l’audio qui ne correspondent pas au contenu visuel.
  • Vérification par des tiers : Utilisez des outils qui analysent la trace numérique du contenu ou la chaîne de blocs pour vérifier son authenticité.
  • Analyse critique : Appliquez une réflexion critique et examinez la source de la vidéo, surtout si elle fait des affirmations sensationnelles.

Si une vidéo vous semble douteuse, signalez-la aux autorités compétentes ou aux plateformes pour enquête ultérieure.

L’émergence de la technologie des hyperrucages pose également un défi majeur pour l’intégrité des élections. Comme le montrent les récents incidents, les deepfakes ont été utilisés pour imiter des personnalités politiques et propager de la désinformation, potentiellement influençant la perception des électeurs et sapant la confiance dans les processus démocratiques.

Étude de cas : L’escroquerie du directeur financier

Un incident récent rapporté par CNN1 met en lumière les dangers résultant des attaques générées par l’IA.

En février 2024, selon la police de Hong Kong, un employé financier d’une entreprise multinationale a été victime d’une arnaque astucieuse orchestrée à l’aide de la technologie d’hyperrucage. Les fraudeurs ont utilisé l’IA pour créer une reproduction corporelle convaincante du directeur financier (CFO) de l’entreprise et l’ont déployée pendant une vidéoconférence.

Cette arnaque complexe a dupé l’employé financier et l’a amené à participer à un appel vidéo avec ce qu’il pensait être plusieurs autres membres du personnel, mais qui étaient tous en réalité des recréations hyperruquées ou des reproductions hyperalsifiées.

Au cours de l’appel vidéo, l’employé financier sans méfiance a été conduit à croire qu’il interagissait avec le directeur financier (CFO) légitime. Croyant que tous les autres participants à l’appel vidéo étaient réels, l’employé financier a accepté de transférer un total de 200 millions de dollars hongkongais, soit environ 25,6 millions de dollars américains.

En conséquence, il a autorisé le paiement de 25 millions de dollars américains aux fraudeurs insoupçonnés. Cet incident d’escroquerie nous rappelle brutalement la complexité et l’efficacité des vecteurs d’attaque engendrés par l’IA.

Un tel cas de vidéo hyperruquée est l’une des nombreuses cyberattaques récentes dans lesquelles des fraudeurs auraient utilisé la technologie d’hyperrucage pour modifier des vidéos et d’autres séquences filmées accessibles au public afin de voler de l’argent aux personnes victimisées.

[1] CABLE NEWS NETWORK – CNN. Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’ | CNN

Mesures préventives et conseils de sécurité

Bien que les attaques alimentées par l’IA posent des défis énormes, il existe des mesures que les individus et les organisations peuvent prendre pour réduire les risques :

  • La formation des employés : sensibilisez les employés aux dangers potentiels des attaques générées par l’IA, notamment les technologies d’hypertrucage, les escroqueries via l’hameçonnage par courriel et l’hameçonnage vocal. Encouragez le scepticisme et proposez une formation sur la façon d’identifier les communications et les demandes suspectes.
  • Les protocoles de vérification : mettez en œuvre des procédures de vérification robustes pour les transactions financières de grande valeur ou les communications confidentielles. Ces contre-vérifications peuvent inclure une authentification multiacteur, des appels de confirmation ou une vérification en personne pour des actions importantes.
  • Les outils de détection de l’IA : investissez dans des outils de détection de l’IA qui peuvent identifier et signaler les contenus suspects, tels que des vidéos hyperruquées ou des courriels hameçons produits par l’IA. De tels outils peuvent aider les organisations à garder une longueur d’avance sur les cybercriminels.
  • Restez informés : demeurez au courant des derniers développements en matière des technologies de l’IA et des cybermenaces. En restant informées, les organisations peuvent adapter leurs mesures de cybersécurité pour faire face efficacement aux risques émergents.
  • La collaboration transparente : favorisez la collaboration transparente entre les professionnels de la cybersécurité, les experts en IA et les forces de l’ordre pour développer des stratégies de lutte collaborative contre les cyberattaques résultant des vecteurs d’attaque produitepar l’IA.

Conclusion

Au-delà du domaine des finances, les attaques d’hameçonnage générées par l’IA sont devenues de plus en plus complexes et difficiles à détecter. Avec des outils comme FraudGPT, les cybercriminels peuvent créer des messages convaincants qui imitent la communication humaine, ce qui rend difficile pour les êtres humains de faire la distinction entre les courriels légitimes et les courriels malveillants.

Au fur et à mesure que la technologie de l’IA continue d’évoluer, il est impératif pour les organisations d’adopter des approches proactives en matière de cybersécurité et de tirer parti des mesures de protection appropriées, afin de renforcer leur résilience face aux menaces proliférées par l’IA.

Contributions

Remerciements pour le soutien financier du Programme d’aide à la recherche industrielle (PARI) du Conseil national de recherches du Canada (CNRC).

Auteur : Victor Oriola
Éditeur en chef : Alan Bernardi
Traducteur, réviseur & correcteur d’épreuves : Ravi Jay Gunnoo

In-Sec-M

283 Boul. Alexandre-Taché Suite F3006,
Gatineau (Québec)
J9A 1L8

info@insecm.ca