Dans le monde de la cybersécurité, ces jours-ci, l’alphabet n’a plus compté que deux lettres : I et A, pour intelligence artificielle (IA). Ces deux mots étaient de toutes les brochures publicitaires et sur toutes les lèvres des industriels réunis au Forum InCyber (FIC), le grand raout annuel de l’industrie française de la cybersécurité, qui s’est tenu à Lille du 26 au 28 mars.
Le domaine n’échappe en effet pas aux inquiétudes et aux promesses de cette nouvelle technologie. Elle est présentée comme une arme ultime dans les mains des pirates informatiques tout autant qu’un bouclier infaillible pour déjouer ces mêmes cyberattaques. Faire peur, rassurer, et, dans les deux cas : vendre. Mais dans les faits, l’impact de l’IA est beaucoup plus nuancé.
D’abord, elle n’est pas utilisée massivement par les pirates informatiques, qu’ils soient étatiques ou criminels. « Pour le moment, l’IA n’est pas la principale inquiétude des gens qui font de la cybersécurité », a reconnu le président du Campus Cyber, Michel Van Der Berghe. « J’ai toujours pensé que l’IA résolvait des problèmes que n’avaient pas les attaquants », a résumé de son côté Ivan Kwiatkowski, chercheur au sein de l’entreprise française Harfang Lab.
Un impact limité
Et de prendre un exemple : pourquoi craindre de voir l’IA utilisée par des malfrats pour écrire à leur place du code malveillant, dans la mesure où des « malwares » sont déjà largement disponibles en ligne gratuitement ? On peut en effet s’interroger sur l’apport de technologies de pointe comme l’IA sur une activité cybercriminelle déjà omniprésente, proliférante et rémunératrice.
Bien loin de l’apocalypse parfois évoquée, un scénario profitant aux cybercriminels se dessine toutefois : l’IA, en particulier les outils génératifs comme ChatGPT, pourrait permettre aux attaquants de créer de manière massive des e-mails d’hameçonnage très convaincants. Selon Jean-Baptiste Roux, de l’entreprise spécialisée Sosafe, les courriels piégés rédigés par l’IA et ceux conçus par des humains sont aussi efficaces. A une différence près : la machine ne se fatigue jamais. Des entités jusqu’ici épargnées, en raison d’un retour sur investissement pas assez intéressant pour les cybercriminels, pourraient donc être à présent ciblées par des attaques automatisées, au coût quasi nul.
Les attaquants étatiques, les mieux dotés technologiquement et financièrement, ne semblent quant à eux pas utiliser massivement l’IA. Mais cela pourrait changer très bientôt, selon le responsable des réseaux informatiques de l’Organisation du traité de l’Atlantique Nord, Manfred Boudreaux-Dehmer. « Cela va arriver, d’ici dix à douze mois. Nous devons nous y préparer », a-t-il assuré sur la scène du FIC.
Il vous reste 47.01% de cet article à lire. La suite est réservée aux abonnés.