Jacques Boschung (Kudelski Security) "Pour les hackers, le codage appuyé par ChatGPT permettra de weaponiser les vulnérabilités plus vite"
ChatGPT est apparu le 30 novembre 2022. Jacques Boschung, président directeur général chez Kudelski Security, sur les effets que le logiciel d'Open AI a eu sur le monde de la cybersécurité.
JDN. Comment les hackers vont-ils utiliser ChatGPT et l'IA en général pour se renforcer ?
Jacques Boschung. On est entré dans la phase de l'automatisation à grande échelle avec l'arrivée de l'IA. Et cette automatisation permet d'industrialiser les processus. De plus, l'IA permet une grande agilité en termes de réaction. Les hackers vont avoir un effet de levier grâce à ChatGPT. Pour commencer il y a du coding sur ChatGPT, et ils vont pouvoir industrialiser la création de variants de leurs ransomwares et autres malwares. Il y a aussi le fait que ChatGPT va leur permettre de créer un grand nombre d'e-mails de phishing et d'en avoir plusieurs variantes. Ils vont aussi pouvoir analyser les algorithmes des entreprises et ainsi usurper leur identité pour piéger les clients de ces sociétés.
Toutes ces solutions vont leur permettre de gagner du temps sur les défenseurs. Par exemple, en 2018, il fallait presque une année pour weaponiser une vulnérabilité cyber, 352 jours d'après le US national vulnerability database. En 2021, on était à 51 jours et en 2022 on est arrivé à 9 jours. On a même eu le cas de Log4shell. Les acteurs ont mis à peine 2 jours pour utiliser cette vulnérabilité Java script. Le codage appuyé par ChatGPT va permettre d'encore plus réduire ce temps pour weaponiser les vulnérabilités. C'est la réduction de ce temps qui est le plus grand danger pour les défenseurs.
Et de leur côté, comment les défenseurs peuvent-ils utiliser l'IA pour se renforcer ?
Pour commencer, il faut comprendre comment fonctionnent les systèmes de défense. Par exemple lors d'une opération de manage detection and response, on a des experts dans un SOC qui observent des logs. Dans une petite société de type PME, le volume de logs est en moyenne de 50 à 100 gigabits par jour. Pour les grandes sociétés, on peut atteindre les 15 térabits de log par jour. Le travail est colossal mais si on rajoute des éléments d'intelligence artificielle en amont des experts humains, le filtrage des logs va s'améliorer et un grand nombre de ce qu'on appelle des faux positifs vont disparaitre. Ainsi, les experts humains vont pouvoir se concentrer sur les vraies menaces. Par exemple chez Kudelski Security, on est déjà en train de travailler sur la construction de ces futurs super bots de détection. Grâce à l'IA, les défenseurs vont eux aussi pouvoir gagner du temps.
"Grâce à l'IA, les défenseurs vont eux aussi pouvoir gagner du temps"
Des groupes de hackers ont-ils déjà développé leur propre IA ?
On ne le sait pas encore. De plus, Open AI a mis des garde-fous pour éviter cela. Pour le moment il n'y a pas besoin de dark ChatGPT. Néanmoins, si un jour les législateurs se penchent sur la problématique de la mauvaise utilisation de ChatGPT, les hackers seront alors forcés de se créer une version dark. Cependant, ils n'auraient pas les moyens financiers nécessaires pour créer de toutes pièces une IA. Ils seraient obligés d'utiliser de l'open source.
Selon vous, les créateurs de ChatGPT avaient-ils conscience du possible danger de leur création ?
Ils sont comme les scientifiques avec la fission de l'atome. Ils étaient fascinés par cette fission mais sans se rendre compte que cette dernière permettait aussi la création de la bombe A. Les créateurs de ChatGPT ont dû peser le pour et le contre et ont dû se dire qu'il y aurait plus d'aspects positifs que négatifs.
L'arrivée de l'IA va-t-elle faire grimper les coûts pour le défenseur ?
Difficile de répondre. Par exemple, dans les équipes SOC humaines, on a des experts de niveau 1 et de niveau 2. L'IA va arriver et va devenir le niveau 0,5. Cette création de 0,5 peut augmenter les coûts, mais cela s'accompagne d'une dynamique plus générale du marché de la cybersécurité. A cause de la menace polymorphique et le fait que les entreprises sont totalement dépendantes du digital, leurs cyberdéfenses sont capitales et elles doivent constamment évoluer face à une menace elle aussi évolutive.