Face à l'IA : sommes-nous prêts pour des cyberattaques ultra-personnalisées ?

L'IA générative transforme la cybersécurité: entre avancée majeure et risques accrus, le défi de sécuriser l'espace numérique devient critique.

En 2023, l'IA générative s'est retrouvée sous les feux de la rampe avec l'arrivée d'outils tels que ChatGPT et Bard, désormais accessibles au grand public. L'enthousiasme suscité par ces technologies innovantes n'avait d'égal que les préoccupations des professionnels de la cybersécurité, qui ont rapidement tiré la sonnette d’alarme sur les risques de cette innovation.  En ce début d’année 2024, nous sommes loin de comprendre tous les scénarios de menaces que l'IA peut générer, mais le génie est déjà sorti de sa lampe. 

En effet, il n’a jamais été aussi facile pour les cybercriminels en devenir d’accéder à une large disponibilité d'outils et de services utilisés à des fins frauduleuses. Le marché est inondé d'acteurs criminels cherchant à tirer profit d'une demande croissante, et l'IA devient leur nouvel instrument pour amplifier leur productivité et leur efficacité. Dans un contexte de stabilité économique précaire, de turbulences géopolitiques et d'incertitudes constantes, les cybercriminels voient s'ouvrir devant eux un vaste champ de nouvelles opportunités. 

La vulnérabilité psychologique ouvre la porte aux cybercriminels, capables de manipuler nos émotions et comportements. De plus, avec la sophistication de leurs techniques d’attaques, l'identification des personnes ciblées devient plus complexe. Dans le contexte actuel, nous observons que les innovations apportées par l'IA générative ne se limitent pas aux avancées technologiques mais englobent aussi des stratégies psychologiques puissantes. Ce qui transformera certainement le paysage des menaces ! Nous devons nous préparer à une nouvelle ère d'ingénierie sociale alimentée par l'IA. 

Des attaques d'ingénierie sociale innovantes pour contourner les défenses technologiques 

L'année 2023 a été marquée par une multitude de cyberattaques exploitant les vulnérabilités humaines. À l’instar de l'attaque contre MGM Resorts, où des hackers ont paralysé des services et dérobé les informations personnelles des clients lors d'une intrusion coûtant à l'entreprise environ 100 millions de dollars. Les hackers ont pu déjouer plusieurs niveaux de contrôles techniques sophistiqués et bien entretenus, en s’appuyant sur des informations publiques obtenues sur les réseaux sociaux pour convaincre le service d'assistance de l'entreprise de réinitialiser un compte utilisateur et de leur octroyer l'accès. La simplicité de cette attaque met en lumière l'importance du facteur humain dans la cybersécurité, mais aussi la tendance de nombreuses entreprises à sous-évaluer l'impact crucial du comportement humain sur le succès des attaques. 

Alors que les cybermenaces évoluent à grande vitesse, la psychologie humaine demeure inchangée. Les hackers ont compris que percer les multiples couches de protection technique est complexe, et prend du temps, donc ils ont trouvé une voie plus aisée : les utilisateurs, qui représentent un point d'entrée vulnérable, et fiable, pour eux. Les cybercriminels sont devenus maîtres de l’infiltration de nos processus de pensée pour dérober nos identifiants, activer leurs malwares et pénétrer nos systèmes. Ces assaillants utilisent des tactiques psychologiques sophistiquées pour manipuler leurs cibles, exploitant nos faiblesses et générant des émotions fortes pour susciter une réaction. 

Et leurs tactiques fonctionnent ! L’une de nos études révèle qu'un utilisateur sur trois clique sur des contenus malveillants dans les emails de phishing, et parmi eux, la moitié saisit ensuite des données sensibles, comme leurs identifiants et mots de passe. Les intitulés d'email les plus efficaces pour attirer l'attention des utilisateurs étaient liés à un « Véhicule endommagé » ou une « Invitation Teams ». Les employés se montrent spécialement sensibles aux stratégies émotionnelles, incluant la pression, l'autorité, et les sollicitations financières. 

L'impact de l'IA générative sur le paysage des menaces cyber  

Avec une faible barrière à l'entrée, un risque relativement faible et de fortes récompenses, il n'est pas surprenant que le business de la cybercriminalité soit en plein essor. En France, les estimations placent l'impact annuel à 2 milliards d'euros. 

Les assaillants se sont professionnalisés et mènent désormais leurs opérations avec la précision et la rentabilité d'entreprises à grande échelle. Ils offrent des garanties sur les malwares, des services d'assistance pour les hackers en devenir, et emploient des négociateurs pour gérer les paiements de rançon. Ils allouent également des budgets à l'innovation, cherchant à devancer les nouveaux contrôles techniques susceptibles d'affecter leur flux de revenus constants. L'attaque contre MGM est une preuve de plus, puisque les tactiques psychologiques ont permis de contourner l'authentification multifactorielle (MFA) et de déployer un ransomware, cryptant des centaines de serveurs de MGM Resorts. 

Cette professionnalisation et cette innovation sont encore accélérées par des outils d'IA générative malveillants tels que WormGPT. Non seulement ils accélèrent le processus de création de contenu, comme la rédaction d'e-mails de phishing, mais ils augmentent également la sophistication et l'impact des cyberattaques. De façon alarmante, notre équipe d'ingénierie sociale a découvert que les e-mails de phishing générés par IA sont créés au moins 40 % plus rapidement que ceux rédigés par des humains et présentent un taux d'interaction de 87 %, contre 60 % pour les e-mails de phishing humains. 

Malgré ces statistiques, la technologie de l'IA générative en est encore à ses balbutiements, et son potentiel en matière de cybercriminalité reste en grande partie à explorer. Cependant, à mesure que son accessibilité et sa flexibilité continuent de s'accroître, les hackers sont prêts à optimiser davantage son usage, générant des deepfakes vocaux et visuels qui imitent parfaitement des individus, rendant les attaques indiscernables pour le public ou l’employé surchargé. Nous avons déjà assisté aux prémices de ces attaques, un dirigeant de la firme de crypto en ligne Binance ayant découvert que des escrocs l'imitaient en ligne lors d'appels vidéo. 

Ainsi, face à l'innovation sans précédent des cybercriminels, employés et internautes se retrouvent dépassés, tentant de demeurer vigilants face aux menaces grandissantes. Cette situation les rend particulièrement exposés à la manipulation émotionnelle en ces périodes de fortes instabilités économiques et géopolitiques. Les professionnels de la cybersécurité doivent alors réfléchir aux meilleures façons afin de soutenir et aider les utilisateurs à faire face à l'escalade des dangers numériques. 

Assurer la sécurité des entreprises dans une nouvelle ère d'ingénierie sociale avancée 

Quelle que soit l'infrastructure de défense technologique mise en place, la vulnérabilité aux cyberattaques et le rôle de l'humain restent une préoccupation constante pour toute entreprise. 

Pour consolider leurs défenses, elles doivent élaborer des stratégies de sécurité globales, intégrant à la fois des mesures technologiques et humaines. Les employés ont besoin d'être soutenus pour aiguiser leurs réflexes de sécurité, qui peuvent alors devenir une composante essentielle de la stratégie de sécurité de l’entreprise. Toutefois, la sensibilisation à la sécurité doit aller au-delà d'une simple connaissance passive. La formation moderne à la sensibilisation à la sécurité implique de fournir des connaissances pertinentes et personnalisées, des exercices pratiques et des simulations réalistes pour développer à la fois connaissance et résilience émotionnelle. Il s'agit de créer une culture de sécurité au sein des entreprises et d’en faire une priorité absolue. 

Aujourd’hui, la cybersécurité n'est plus l'apanage des grandes entreprises uniquement. Chaque organisation devient une cible, que ce soit pour ses propres atouts ou comme tremplin vers une victime plus importante. Élever la sécurité au niveau du conseil d'administration et aligner les stratégies de sécurité avec les enjeux commerciaux est crucial. Cependant, il est essentiel de ne pas oublier que la majorité des brèches de sécurité réussies (74 %) se concentrent sur l'aspect humain, et non sur la technologie. 

La bonne nouvelle est que, au même titre que les cybercriminels exploitent la psychologie humaine pour nous attaquer, nous pouvons également nous servir de la science du comportement et de la psychologie de l'apprentissage pour renforcer nos défenses et rendre les comportements sécuritaires instinctifs. Pour les organisations qui valorisent la continuité de leurs services, leur réputation ou la confidentialité des données clients, donner la priorité à une approche de sécurité centrée sur l'humain est essentiel, plutôt que de la considérer comme une réflexion de second plan.