L’intelligence artificielle a considérablement amélioré un certain nombre de technologies en peu de temps. Malheureusement, ces technologies sont également utilisées par toute une série d’acteurs malveillants.
Un exemple de la façon dont cela devient un problème important peut être trouvé dans le domaine en plein essor du phishing vocal, des escroqueries frauduleuses par téléphone ou par vidéo où les attaquants se font passer pour des personnes de confiance. Le logiciel de changement de voix IA en temps réel est disponible gratuitement dans les référentiels open source sur GitHub, et les chercheurs en sécurité ont été surpris de voir à quel point ces outils sont devenus efficaces.
Tom Cross de GetReal Security a parlé de la réinitialisation des informations d'identification lors de Cyphercon.
L’hypothèse est que la biométrie vocale aidera à identifier ce qui est faux et ce qui est réel. Cependant, cela n'est pas nécessairement le cas, selon Tom Cross, responsable de la recherche sur les menaces chez GetReal Security Inc., qui a personnellement testé les derniers outils de modification vocale de l'IA.
« Non seulement cela me ressemble, mais cela me ressemble grâce à la biométrie vocale la plus sophistiquée que nous ayons essayée », a déclaré Cross. « Les gens ne comprennent tout simplement pas ce qui est possible à l'heure actuelle. »
Ciblage des réinitialisations d'identifiants
Cross a présenté les résultats de ses recherches au Cyphercon, un rassemblement cette semaine à Milwaukee de chercheurs en cybersécurité et de responsables de la sécurité de l'information. L'événement a donné un aperçu, au sein de la communauté, de ce que certains des plus grands experts en sécurité du pays voient dans le paysage changeant des menaces.
Ce n'est pas une jolie image. Cross a détaillé les résultats de ses récents travaux visant à évaluer les récentes attaques contre le cycle de vie des informations d'identification, notant que l'IA a alimenté une augmentation notable des outils vocaux et faciaux frauduleux.
La réinitialisation des identifiants est actuellement la principale méthode utilisée par les acteurs malveillants, une tendance exacerbée par les réalités du travail à distance provoquées par la pandémie de Covid de 2020. Alors qu’auparavant les employés étaient tenus de se présenter personnellement au bureau pour prouver leur identité en vue de leur réaccréditation, l’ère post-pandémique a conduit à un nombre beaucoup plus important de personnes qui n’ont jamais mis les pieds au bureau.
« Le nombre de personnes travaillant entièrement à distance a plus que doublé », a noté Cross. « Nous convertissons l'humain en clé privée. »
L’un des piratages les plus importants impliquant une réinitialisation des informations d’identification s’est produit en 2023 lorsque MGM Resorts Inc. et Caesars Entertainment Inc. ont été touchés par une attaque de ransomware. L'exploit, réalisé par un groupe cybercriminel connu sous le nom de Scattered Spider, ciblait un fournisseur tiers de technologies de l'information via une attaque d'ingénierie sociale qui a persuadé un ingénieur du centre de services de réinitialiser les facteurs d'authentification pour les utilisateurs disposant de privilèges élevés.
Cross a averti que les outils basés sur l'IA permettent aux cybercriminels de générer plus facilement des attaques d'ingénierie sociale convaincantes, similaires à l'exploit qui a détruit les machines à sous et les systèmes de réservation à Las Vegas il y a trois ans. Il a recommandé aux organisations un certain nombre de techniques de contrôle à mettre en œuvre dès que possible. Il s'agit notamment d'exiger l'approbation de deux employés du service d'assistance pour la réinitialisation des informations d'identification, d'effectuer une vidéoconférence avec le demandeur qui interdit les arrière-plans virtuels ou le flou, et d'avoir un responsable dans l'organigramme qui peut soit se joindre à l'appel, soit se porter garant de lui.
« Ils ont choisi un employé qui travaillait dans l'informatique, cette personne avait des droits de super-administrateur », a déclaré Cross. « Il ne faut pas beaucoup d'informations disponibles publiquement pour cibler ce processus. »
Tirer parti des outils vidéo deepfake
L’arsenal croissant d’outils d’IA deepfake s’étend également à la vidéo. Une vague d’arnaques aux « arrestations numériques » déferle actuellement sur l’Inde, selon James McQuiggan, directeur des technologies de l’information chez Quilligence et directeur de l’éducation à la Florida Cyber Alliance.
James McQuiggan de Quilligence a décrit l'essor des outils de deepfake vidéo d'IA aux participants à Cyphercon.
Il a décrit comment des acteurs malveillants utilisent des numéros de téléphone falsifiés pour exécuter de faux mandats, souvent via un canal vidéo WhatsApp. Des vidéos générées par l'IA, avec des personnes créées numériquement se faisant passer pour de vrais juges dans certains cas, apparaissent sur l'écran d'un utilisateur dans des paramètres crédibles de salle d'audience, menaçant d'être arrêté pour divers crimes à moins que le paiement ne soit effectué.
« Ils les maintiennent en ligne pour qu'ils doivent payer, sinon ils seront arrêtés », a déclaré McQuiggan. « Nous constatons de fausses escroqueries aux arrestations en Inde et dans d'autres pays asiatiques. Je ne serais pas surpris si nous commencions à en voir (aux États-Unis) dans les six prochains mois, voire avant. »
Les progrès rapides des outils vidéo d’IA faciliteront sans aucun doute la tâche des acteurs malveillants. McQuiggan a présenté une vidéo deepfake réaliste de 30 secondes qu'il a créée d'un précédent orateur à la conférence ce jour-là et qui ne lui a pris que quatre minutes à produire. Peut-être encore plus surprenant était un outil qu'il a présenté sur scène, appelé Decart Video AI, qui utilisait sa caméra cellulaire pour transmettre les mouvements de tout le corps en direct. C'était le visage et le corps de quelqu'un d'autre dans la vidéo.
« Créer ces deepfakes ne demande pas beaucoup d'efforts, surtout lorsque vous disposez des services », a déclaré McQuiggan au public de Cyphercon. « Certains ne coûtent que quelques dollars. »
Un malware auto-codant apparaît
Bien que les deepfakes soient une manifestation visible de la manière dont les acteurs malveillants utilisent l’IA pour améliorer leur jeu, les chercheurs en menaces tirent également la sonnette d’alarme sur une nouvelle classe de logiciels qui opèrent discrètement dans l’ombre numérique.
Les logiciels malveillants d'IA polymorphes commencent à apparaître dans des attaques autonomes et adaptatives, selon un récent rapport sur les menaces de Google Mandiant. Le malware utilise des interfaces de programmation d'applications de modèle d'IA pour générer du code malveillant à la demande pendant l'exécution, avec la capacité de modifier sa signature et son comportement pour échapper aux systèmes de détection traditionnels basés sur les signatures.
Les chercheurs de Google Mandiant ont trouvé des versions du malware dans des attaques soutenues par le gouvernement russe contre l'Ukraine. Dans une présentation sur l’IA polymorphe, le chercheur en sécurité Stephen Sam a déclaré que même si le malware était inhabituel dans sa capacité à s’auto-modifier « juste à temps », il devait néanmoins suivre les règles de programmation de base qui rendaient finalement la découverte possible.
« Les lectures et écritures persistantes en mémoire qui ne sont pas sauvegardées par un fichier sont une preuve irréfutable », a noté Sam. « Même les logiciels malveillants auto-écrits doivent éventuellement toucher un disque. Nous sommes dans une course aux armements, mais elle n'est pas désespérée. Les métamorphes sont rapides et intelligents, mais ils doivent toujours respecter des règles immuables. «
Le défi auquel sont confrontés les professionnels de la cybersécurité de nos jours est que, même si les protocoles de codage peuvent obliger certains acteurs malveillants à respecter les règles, il est peu probable qu’ils le fassent à long terme, et ils ont désormais accès à une gamme puissante d’outils d’IA pour rendre la vie des défenseurs encore plus difficile. Cela pourrait à terme conduire à un changement dans la façon dont la sécurité est perçue, dans laquelle les praticiens devraient penser moins comme des défenseurs et davantage comme des pirates informatiques eux-mêmes.
Le « Hacker CISO » Mishaal Khan a prononcé le discours sur le renseignement open source au Cyphercon à Milwaukee.
Un exemple de cet état d’esprit peut être vu dans la carrière de Mishaal Khan, un « RSSI hacker » autoproclamé qui a cultivé une réputation de piratage éthique pour aider les autres en utilisant des informations facilement disponibles en ligne. L'approche de Khan, connue sous le nom d'OSINT ou Open-Source Intelligence, a joué un rôle dans la résolution de piratages tels que la violation de l'application de stationnement sans espèces ParkMobile, et des enquêtes plus modestes ont démasqué les harceleurs, les sextorsionnistes et les personnes à l'origine d'alertes à la bombe en ligne.
Lors de son discours d'ouverture à Cyphercon cette semaine, Khan a décrit une philosophie qui pourrait s'avérer être la voie à suivre pour ceux qui cherchent à combattre les adversaires armés d'IA qui assiègent aujourd'hui les réseaux et les citoyens privés.
« Beaucoup de ces fils d'Ariane sur Internet créent un profil vous concernant », a déclaré Khan. « J'ai le sentiment de permettre et d'armer les gens pour qu'ils utilisent leurs compétences pour faire le bien. Nous avons une grande responsabilité pour bien faire les choses. C'est une tâche énorme. Les choses évoluent rapidement et nous devons agir en conséquence. »
