L’intelligence artificielle transforme déjà de nombreux aspects de notre quotidien depuis des années. Cette tendance est appelée à s’accentuer, pour le meilleur comme pour le pire. Mais à l’heure où l’IA gagne en puissance et s’ancre de plus en plus fermement dans les usages, les entreprises doivent impérativement évaluer son potentiel de façon réaliste et objective, à la fois en tant qu’outil et menace.
L’IA démultiplie les vitesses et les capacités d'action des acteurs bien et mal intentionnés
La généralisation du machine learning dans les entreprises en fait un outil et une cible de choix
L’engouement que suscite l’IA peut en faire oublier les risques
Les menaces émergentes ne cessent de s’amplifier et de se diversifier
Les menaces générées par IA imposent la mise en place d'une sécurité pilotée par IA
Les conséquences réelles de l’IA générative sont très difficiles à prédire, tant l’énorme buzz qui l'entoure obscurcit aujourd’hui cette technologie. À lui tout seul, le terme « IA » est devenu une sorte d’argument marketing. Vous souhaitez remplir la salle lors de votre prochain événement tech ? Mettez « IA » dans le titre de votre présentation. Vous voulez attirer l’attention sur une fonctionnalité ML de votre logiciel ? Ajoutez « IA » au nom de votre produit. Tout ceci ne fait que voiler la réalité, avec d’un côté des avantages et des dangers sensationnalisés et, de l’autre, une insensibilisation de beaucoup aux thématiques IA dans leur ensemble.
À cela s’ajoute le fait que bon nombre de personnes, notamment les moins techniquement versés d'entre nous, ne comprennent pas précisément ce qu’est l’IA.
L’intelligence artificielle porte bien son nom : elle regroupe des systèmes informatiques utilisés pour simuler les processus de l’intelligence humaine.
Voici quelques exemples : traitement du langage, reconnaissance vocale, systèmes experts et vision machine.
Le machine learning désigne des systèmes informatiques pilotés par des algorithmes qui leur permettent d’apprendre et de s’adapter automatiquement après avoir été entraînés sur des jeux de données spécifiques.
Quelques exemples : algorithmes de recommandation de contenus, analyse prédictive et reconnaissance d’images.
Le deep learning est une technique qui utilise des couches d’algorithmes et des unités de calcul pour simuler un réseau neuronal construit à l’image du cerveau humain.
Exemples : grands modèles de langage (LLM), traduction et reconnaissance faciale.
Content authenticity
Identity manipulation
Phishing with dynamite
Prompt injection
Machine Hallucinations
Attack sophistication
Custom malware
Poisoned data
Privacy leaks
Authenticité des contenus
L’IA générative est capable de créer des copies très réalistes à partir de contenus originaux. Cette aptitude menace la propriété intellectuelle, surtout dans le cas des entreprises qui exploitent l’IA pour générer des contenus. Les acteurs malveillants, quant à eux, peuvent voler des données et produire des copies convaincantes pour imiter une création originale, voire faciliter d’autres attaques.
Usurpation d’identité
L’IA générative peut créer des images et vidéos ultraréalistes en quelques secondes, voire même manipuler une vidéo live au moment même de sa création. Cela peut éroder le degré de confiance dans certains systèmes critiques (logiciels de reconnaissance faciale, preuves vidéo utilisées devant des tribunaux, fausses informations diffusées à des fins politiques, etc.) et entacher de doute toute forme d’identification visuelle.
Phishing
Les cybercriminels peuvent utiliser des outils d’IA générative pour reproduire des visages, des voix et des styles d’écriture de façon extrêmement convaincante. L'IA peut aussi les aider à imiter l’identité de marques ou d’entreprises pour créer une apparence de légitimité et ainsi échapper aux systèmes de détection.
Prompt injection
Beaucoup d’entreprises utilisent des modèles d’IA générative grand public. Ce faisant, elles peuvent exposer les informations utilisées pour entraîner ou créer des invites (ou prompts) à des attaques par injection, par lesquelles les hackers parviennent à obtenir des données qui ne sont pas censées être divulguées. En l’absence de protections solides et de mises à jour fréquentes, l’exploitation du modèle de base peut exposer toute organisation qui utilise ce modèle.
Hallucinations
L’IA parvient à produire rapidement des contenus vocaux ou textuels convaincants. Cependant, elle n’est pas à l’abri d'erreurs. Cela pose notamment problème aux entreprises qui s’appuient sur l’IA pour générer du contenu d’information ou d’assistance, ainsi qu’à celles qui ont recours au machine learning pour détecter les menaces. Dans ce dernier cas, la moindre erreur peut coûter cher.
Sophistication des attaques
Par sa capacité à générer du code fonctionnel à vitesse surhumaine, l'IA pourrait être détournée pour déployer des offensives d’une ampleur, d’une rapidité et d’une complexité sans précédent. Des attaquants pourraient aussi utiliser l’IA pour détecter des vulnérabilités dans un codebase compromis, et ainsi abaisser les barrières à l'entrée pour tous les acteurs malveillants.
Malwares personnalisés
Bien que les principaux LLM soient dotés de protections empêchant les utilisateurs de créer du code malveillant, les hackers les plus habiles finissent toujours par y débusquer des failles exploitables. Les modèles dérobés ou copiés peuvent aussi être délestés de ces protections, permettant aux cybercriminels de générer rapidement des exploits quasi indétectables et hautement personnalisables.
Empoisonnement des données
Les attaquants n’ont pas nécessairement besoin d’exploiter directement l’IA. Ils peuvent cibler à la place les données d’entraînement des modèles de machine learning pour en fausser les résultats. Ces données permettent ensuite de créer des exploits au sein du modèle, comme la falsification d’une séquence d’ADN dans une base de données judiciaire, ou simplement de générer des résultats susceptibles de nuire à l’organisation visée.
Divulgation de données confidentielles
Lorsque l’IA traite ou est entraînée avec des données sensibles, ces informations courent le risque d’être exposées soit via un bug, comme nous l’avons vu avec plusieurs modèles grand public, soit par le biais d’une attaque ciblée.
Nous avons demandé à ChatGPT de lister les principales menaces que présente l’IA générative. Voici sa réponse :
L’IA générative offre un potentiel incroyable d’innovation et de créativité. Mais cette technologie pose également des défis et des menaces de cybersécurité uniques. Voici quelques-uns de ses principaux risques :
Les fonctionnalités qui font de l’IA une arme offensive si redoutable peuvent et doivent être utilisées pour renforcer les cyberdéfenses. Ceci permet aux entreprises non seulement de développer des technologies de cybersécurité plus agiles et efficaces, mais aussi de mieux répondre aux failles humaines.
Se préparer au monde post-quantique
Préparation à la PQC : identifier les assets cryptographiques
Rapport Gartner 2022 sur la PQC