Google détecte le premier cas d’un pirate utilisant un exploit développé par une IA.

Le Google Threat Intelligence Group (GTIG) a fait part mardi d'une série d'évolutions dans le domaine de la cybercriminalité. Le groupe a souligné qu'actuellement, l'intelligence artificielle (IA) est utilisée à la fois comme moteur pour les opérations des adversaires et comme cible de grande valeur pour les attaques. Le développement le plus préoccupant est le premier cas connu où un acteur malveillant a utilisé un exploit zero-day développé par l'IA. Bien que l'attaque ait été déjouée par le géant de la technologie, cela soulève de nouvelles inquiétudes quant au fait que l'IA renforce les pirates et les acteurs malveillants.

Google affirme que l'IA fait désormais partie des cyberattaques du monde réel

Dans un article de blog, la branche de recherche en cybersécurité de Google a révélé plusieurs développements dans lesquels l'IA est utilisée pour mener des cyberattaques. GTIG affirme que les acteurs malveillants n'utilisent plus l'IA uniquement pour de simples e-mails d'hameçonnage ou pour la génération de texte. Au lieu de cela, les attaquants appliquent désormais des modèles d'IA générative à des parties plus avancées des cyberopérations, notamment la recherche de vulnérabilités, le développement d'exploits, la création de logiciels malveillants et le contournement des défenses.

L'une des principales conclusions du rapport est une campagne d'exploitation de masse planifiée impliquant une vulnérabilité zero-day. Une vulnérabilité zero-day est une faille logicielle inconnue du fournisseur au moment où les attaquants commencent à l'exploiter. GTIG a déclaré avoir identifié un acteur malveillant utilisant un exploit zero-day qui, selon elle, a été développé à l'aide d'outils d'IA. Google a déclaré avoir découvert la vulnérabilité avant que les attaquants ne puissent l'utiliser à grande échelle et avoir collaboré avec le fournisseur concerné pour corriger le problème.

L'exploit aurait ciblé un outil d'administration Web open source populaire et aurait permis aux attaquants de contourner l'authentification à deux facteurs (2FA), un système de sécurité qui nécessite normalement une deuxième étape de vérification en plus d'un mot de passe.

Google a déclaré que des signes dans le code de l'exploit suggéraient l'implication de l'IA. Il s'agissait notamment de modèles de codage de type IA, de commentaires explicatifs et même d'un score de gravité de vulnérabilité fabriqué, généré dans un format communément associé aux grands modèles de langage.

Au-delà de la découverte de vulnérabilités, GTIG a déclaré que les attaquants utilisent également l'IA pour accélérer le développement de logiciels malveillants et améliorer l'efficacité opérationnelle. Selon le rapport, le codage assisté par l'IA aide les acteurs malveillants à créer des logiciels malveillants plus adaptables et des systèmes d'obfuscation conçus pour contourner les logiciels de sécurité.

Google a spécifiquement mentionné des familles de logiciels malveillants telles que PROMPTSPY, que la société a décrite comme un exemple de logiciel malveillant basé sur l'IA, capable d'interpréter les états du système et de générer dynamiquement des commandes. En termes plus simples, le logiciel malveillant peut adapter son comportement en fonction de l'environnement qu'il rencontre sur une machine infectée.

Le rapport indique également que les pirates liés à la Chine, à la Corée du Nord et à la Russie ont manifesté un intérêt croissant pour l'utilisation de modèles d'IA pour la recherche de vulnérabilités et les flux de travail d'attaque. Dans certains cas, les acteurs malveillants auraient utilisé des systèmes d'IA pour analyser les vulnérabilités connues, valider les exploits de démonstration de faisabilité et améliorer l'infrastructure malveillante.