Intelligence artificielle, de nouvelles menaces en perspective

Il est important de souligner qu’en matière de sécurité, si l’apport de l’IA est incontestable, il est aussi extrêmement ambivalent. Ses outils, certes utiles à la défense et à l’évaluation de la sécurité de systèmes ou de produits, peuvent être non seulement détournés à des fins d’attaque, mais aussi constituer, eux-mêmes, de nouvelles surfaces d’attaque à part entière.

L'IA, alliée inattendue des cyberattaquants ?

Les opportunités sont nombreuses pour un assaillant et ce, quel que soit son niveau de qualification technique. En effet, aujourd’hui, il a déjà accès à des dizaines de systèmes d’IA commerciaux ou en libre-service. Inutile donc d’avoir à créer et entraîner le sien.

Il peut, par exemple, solliciter ChatGPT pour rédiger des emails de phishing en quelques secondes, les traduire via des logiciels en ligne et les déployer à très grande échelle en un temps-record, sans aucune compétence particulière.

Il peut aussi, dans le cadre d’une attaque par Spear phishing, avoir recours à l’intelligence artificielle pour passer les données des réseaux sociaux au crible, repérer les cibles les plus vulnérables et, enfin, utiliser des applications de trucage visuel ou vocal pour réaliser des deepfakes et tromper ses victimes.

Sans oublier non plus que ces quelques applications, en automatisant la création de contenus, offrent la possibilité d’élaborer très rapidement de larges campagnes de désinformation et d’inonder les canaux de communication de fausses informations.

Citons aussi quelques exemples d’attaques augmentées par l’IA nécessitant, cette fois, des compétences plus avérées, comme les attaques par déni de service (DDoS) ou le camouflage de malware.

Dans le premier cas, il est possible de concevoir une IA attaquante imitant le comportement de navigation d’un utilisateur humain afin de tromper l’IA défensive.

Dans le second, une intelligence artificielle pourrait être utilisée pour déduire les règles de détection du logiciel que l’on souhaite infecter, dans le but de les contourner et de rendre un malware « invisible ». On peut aussi très bien rendre le malware lui-même « intelligent » en lui administrant la capacité d’analyser l’environnement dans lequel il se trouve et de se rendre « furtif ».

Enfin, un système d’IA lui-même intégré à un système d’information, est susceptible d’être visé par toutes les attaques classiques envisageables exploitant les vulnérabilités d’une infrastructure : mises à jour non réalisées, contrôles d’accès insuffisants, vol de données via ingénierie sociale, etc.

Nouveau terrain d'attaque

Il faut également envisager des attaques ciblant plus directement les systèmes d’intelligence artificielle et ce, tout au long de leur cycle de vie applicatif. Les conséquences de ces attaques sont diverses. Elles peuvent tout aussi bien affecter et altérer la disponibilité du système d’IA, corrompre son intégrité en modifiant les décisions qu’il aurait dû prendre, mais aussi compromettre sa confidentialité et les données personnelles de ses utilisateurs.

Dès lors de sa sélection, un modèle d’IA peut avoir subi un empoisonnement.
Les entreprises et utilisateurs repartent très souvent de modèles déjà existants et pré-entraînés, parfois même disponibles en open source. Il suffit donc, pour un attaquant, de trafiquer le modèle en amont pour, par exemple, rendre un malware indétectable.

Lors de son apprentissage, un modèle d’IA peut également connaître, cette fois-ci, un empoisonnement de ses données. Cette attaque consiste à corrompre les données d’apprentissage du modèle pour en « dérégler » les processus de décision. Ce type d’attaque peut survenir pendant l’entraînement, mais également après, lorsque le système est déjà en production et qu’il repose notamment sur une boucle d’apprentissage continu. On peut alors parler de « leurrage » ; on altère peu à peu le système pour le faire dériver lentement.

Lorsque le modèle est déployé, il peut encore subir une attaque par compromission du modèle. On s’en prend à l’infrastructure sur laquelle il repose par le biais d’attaques classiques dans le but de compromettre l’application tout entière.

Enfin, quand le système d’IA est opérationnel, il peut être visé par une attaque par évasion de modèle. Il suffit, en ce cas, d’observer le modèle pour en comprendre le processus de décision et ainsi, mieux le contourner. Il est alors possible de le tromper par le biais de données « adversarial » ou « contradictoires ». Sont aussi possibles des attaques par extraction de modèle ou par extraction de données. Dans le premier cas, l’attaquant reconstruit le système et en réalise une copie hors ligne pour en étudier le fonctionnement. Dans le second, il réalise une série de requêtes lui permettant d’inférer les données d’apprentissage. Dans les deux cas, sa connaissance et sa compréhension des données du modèle lui permettent encore une fois d’en altérer le processus de décision.

L’intelligence artificielle, exploitée de manière malveillante, peut avoir des conséquences fortes et renverser l’équilibre stratégique entre attaque et défense en faveur des assaillants. C’est pourquoi il est essentiel d’intégrer les préoccupations de sécurité et d’anticiper les menaces futures dès la phase de conception des système d’IA.