Google perturbe les hackers utilisant l'IA pour exploiter une faiblesse inconnue dans la défense numérique d'une entreprise

Google a déclaré lundi avoir déjoué la tentative d’un groupe criminel d’utiliser l’intelligence artificielle pour exploiter une vulnérabilité numérique inconnue d’une autre entreprise, ajoutant aux inquiétudes croissantes dans le gouvernement et le secteur privé concernant les risques de l’IA pour la cybersécurité.

Google a partagé peu d’informations sur les attaquants et la cible, mais John Hultquist, analyste en chef du bras de renseignement sur les menaces du géant technologique, a déclaré que cela représentait un moment dont les experts en cybersécurité ont averti depuis des années : des hackers malveillants s’arment d’IA pour renforcer leur capacité à pénétrer dans les ordinateurs du monde entier.

« C’est ici », a dit Hultquist. « L’ère de la vulnérabilité et de l’exploitation pilotées par l’IA est déjà là. »

Cela intervient à un moment où les capacités de l’IA à détecter des vulnérabilités font un bond, notamment avec le modèle Mythos annoncé il y a un mois par Anthropic. Parmi ceux qui tentent de renforcer leurs défenses se trouve la Maison-Blanche du président Donald Trump, qui a modifié son approche quant à la manière dont elle prévoit d’évaluer les modèles d’IA les plus puissants avant leur sortie publique.

Après avoir tenu sa promesse de campagne de supprimer les garde-fous autour de cette technologie en rapide développement, l’administration républicaine et ses alliés envoient désormais des signaux contradictoires quant au rôle accru du gouvernement dans la supervision de l’IA.

Stories connexes

Google a déclaré avoir trouvé des preuves que l’IA aidait dans une cyberattaque

Google a dit avoir observé un groupe de « acteurs de menace » de premier plan planifiant une grande opération en s’appuyant sur une faille qu’ils avaient découverte. La vulnérabilité leur permettait de contourner l’authentification à deux facteurs pour accéder à un outil d’administration système en ligne populaire, que Google a refusé de nommer.

L’entreprise l’a qualifiée d’exploitation de type zero-day, une cyberattaque exploitant une vulnérabilité de sécurité inconnue jusqu’alors. « Zero-day » fait référence au fait que les ingénieurs en sécurité ont eu zéro jour pour développer une correction pour la vulnérabilité.

Google a dit avoir informé l’entreprise affectée et les forces de l’ordre, et avoir réussi à interrompre l’opération avant qu’elle ne cause des dégâts. Mais en suivant les traces des hackers, elle a trouvé des preuves qu’ils avaient utilisé un modèle de langage IA — la même technologie qui alimente les chatbots populaires — pour découvrir la vulnérabilité.

Google n’a pas révélé quel modèle d’IA a été utilisé dans la cyberattaque, seulement qu’il était très probablement ni le Gemini de Google ni le Claude Mythos d’Anthropic. La société n’a pas non plus révélé quel groupe elle suspecte dans l’attaque, mais a indiqué qu’il n’y avait aucune preuve qu’elle soit liée à un gouvernement adversaire, bien que des groupes liés à la Chine et à la Corée du Nord aient exploré des techniques similaires.

Hultquist a déclaré qu’en comparaison avec les espions gouvernementaux qui travaillent généralement lentement et discrètement, les hackers criminels ont beaucoup à gagner de la « capacité extraordinaire de rapidité » de l’IA pour découvrir et exploiter des bugs de sécurité.

« Il y a une course entre vous et eux pour les arrêter avant qu’ils ne puissent essentiellement obtenir toutes les données dont ils ont besoin pour vous extorquer, ou lancer un ransomware », a-t-il dit lors d’une interview. « L’IA va leur donner un avantage énorme parce qu’ils peuvent agir beaucoup plus vite. »

Anthropic’s Mythos a déclenché une panique et un appel à la régulation

La semaine dernière, le département du Commerce de Trump a annoncé avoir signé de nouveaux accords avec Google, Microsoft et xAI d’Elon Musk pour évaluer leurs modèles d’IA les plus puissants avant leur sortie publique, s’appuyant sur des accords précédents que l’administration Biden avait conclus avec Anthropic et OpenAI, créateur de ChatGPT. Mais l’annonce a ensuite disparu du site du département du Commerce.

C’était le dernier exemple de signaux confus de l’administration Trump depuis qu’Anthropic a annoncé un nouveau modèle appelé Mythos, qu’elle a déclaré si « remarquablement capable » dans le domaine du piratage et de la cybersécurité qu’elle ne pouvait le publier qu’à un petit groupe d’organisations de confiance.

Anthropic a créé une initiative appelée Project Glasswing réunissant des géants de la tech comme Amazon, Apple, Google et Microsoft, ainsi que d’autres entreprises comme JPMorgan Chase, dans l’espoir de protéger le logiciel critique mondial contre des conséquences « graves » que le nouveau modèle pourrait poser à la sécurité publique, à la sécurité nationale et à l’économie. Mais sa relation avec le gouvernement américain a été compliquée par un conflit public et juridique avec le Pentagone et Trump lui-même concernant l’utilisation militaire de sa technologie IA.

Son principal rival, OpenAI, a depuis lancé un modèle similaire. La société a annoncé vendredi qu’elle lançait une version spécialisée de ChatGPT pour la cybersécurité, qui ne serait accessible qu’aux « défenseurs responsables de la sécurisation des infrastructures critiques » afin de les aider à détecter et corriger les vulnérabilités dans leur code.

Ball a dit qu’il était optimiste quant au fait qu’à long terme, des outils d’IA de plus en plus performants en programmation nous rendraient plus sûrs face aux cyberattaques routinières qui frappent les hôpitaux, écoles et autres organisations. En attendant, il a souligné qu’il existe « des trillions de lignes de code logiciel » soutenant les systèmes informatiques mondiaux qui sont à risque si l’IA est déployée pour exploiter toutes leurs failles.

Il pourrait falloir des années pour renforcer tout ce logiciel — un processus que Ball pense que la coordination du gouvernement américain pourrait faciliter.

En attendant, Ball prévoit une « période de transition » où les risques en cybersécurité augmenteront considérablement et où « le monde pourrait en fait devenir plus dangereux. »