TORONTO — Denis Villeneuve travaille dans le domaine de la cybersécurité depuis 15 ans. Les menaces qu’il a rencontrées lui ont rarement semblé aussi personnelles qu’aujourd’hui.
Les employés de son entreprise, la société de technologie Kyndryl, ont reçu de fausses vidéos du PDG Martin Schroeter destinées à les inciter à donner leurs identifiants de connexion à des fraudeurs.
M. Villeneuve a également vu un ami qui dirige une petite société d’ingénierie se faire piéger lorsque sa femme a reçu un message vocal utilisant ce qui semblait être sa voix pour lui faire croire qu’il avait des ennuis et qu’elle devait rapidement verser une caution.
«Cela m’a frappé de plein fouet, car il s’agit d’un bon ami à moi», se souvient M. Villeneuve, responsable de la cybersécurité chez Kyndryl Canada.
Les attaques ont été rendues possibles par des logiciels basés sur l’intelligence artificielle (IA), qui sont devenus encore plus abordables, accessibles et perfectionnés au cours des dernières années.
Malgré les menaces qui pèsent sur la cybersécurité, M. Villeneuve, comme une grande partie de l’industrie technologique, prend soin de ne pas considérer l’IA comme un mal absolu.
Dans la lutte contre les cyberattaquants, il estime que l’IA peut aider autant qu’elle peut nuire.
«C’est une arme à double tranchant», explique M. Villeneuve.
À mesure que l’IA s’améliore, les experts estiment qu’il y aura toujours un moyen plus efficace ou plus innovant d’essayer de franchir les défenses d’une entreprise, mais ces défenses bénéficient également d’un coup de pouce de la part de la technologie.
«En fin de compte, l’IA est bien meilleure pour les défenseurs que pour les attaquants», a déclaré Peter Smetny, vice-président régional de l’ingénierie à la société de cybersécurité Fortinet Canada.
Son raisonnement repose sur le nombre d’attaques auxquelles certaines entreprises sont confrontées et sur les ressources nécessaires pour y faire face ou les repousser.
Une étude réalisée en 2023 par EY Canada auprès de 60 organisations canadiennes a révélé que quatre sur cinq avaient connu au moins 25 incidents de cybersécurité au cours de l’année écoulée. Indigo Books & Music, London Drugs et Tigre Géant ont tous été victimes d’incidents très médiatisés.
Bien que toutes les cyberattaques ne soient pas couronnées de succès, M. Smetny a souligné que de nombreuses entreprises voient chaque jour des milliers de tentatives de pénétration de leurs systèmes.
L’IA permet de gérer ces tentatives plus efficacement.
«Vous n’avez peut-être que quatre ou cinq personnes dans votre équipe et le nombre d’alertes qu’elles peuvent traiter manuellement est limité, mais l’IA leur indique celles qui doivent être traitées en priorité», a affirmé M. Smetny.
Sans l’IA, un analyste devrait vérifier manuellement si chaque attaque est liée à une adresse de protocole Internet (IP), un identifiant unique attribué à chaque appareil connecté à l’internet, qui peut aider à retracer les origines d’une attaque.
L’analyste vérifierait également si la personne à l’origine de l’adresse est déjà connue de l’entreprise et quelle est l’ampleur de l’attaque.
Grâce à l’IA, un analyste peut désormais interroger un logiciel en utilisant un langage simple pour compiler et présenter rapidement tout ce qui concerne un attaquant et son adresse IP, y compris l’endroit où il a pu pénétrer dans un système et les actions qu’il a effectuées.
«Cela permet de gagner beaucoup de temps et de s’orienter dans la bonne direction, de sorte que l’on peut se concentrer sur les choses importantes», a déclaré M. Smetny.
À armes égales
Mais les attaquants disposent des mêmes outils dans leur arsenal.
Dustin Heywood, architecte en chef de l’agence mondiale de renseignement X-Force d’IBM, souligne que toute personne ayant des intentions malveillantes peut se tourner vers l’IA pour rassembler des données provenant de plusieurs violations et dresser le profil d’une cible.
Par exemple, si les données indiquent qu’une personne achète fréquemment des produits pour enfants chez Toys «R» Us ou Walmart, elles pourraient indiquer à un pirate que cette personne a récemment eu un bébé.
Parfois, les attaquants ont recours à une pratique connue sous le nom de «pig butchering» (dépeçage de cochons) pour compléter les informations manquantes.
«Un agent conversationnel («chatbot») peut commencer à parler à quelqu’un, à établir une relation en utilisant des techniques comme l’IA générative. Il lui donne l’impression d’être sympathique et digne de confiance, puis il commence à extraire des informations», a indiqué M. Heywood.
Lorsque les attaquants obtiennent des informations financières, un numéro d’assurance sociale ou suffisamment d’informations personnelles pour accéder à un compte, les données peuvent être utilisées pour faire une fausse demande de carte de crédit ou être vendues à d’autres criminels.
Le préjudice potentiel s’accroît encore lorsqu’il y a suffisamment de matériel pour créer un hypertrucage («deepfake»), c’est-à-dire un extrait montrant quelqu’un en train de faire ou de dire quelque chose qu’il n’a pas fait. L’exemple de M. Villeneuve, où son ami a apparemment laissé un message à sa femme, illustre bien cette tactique.
Pour les cibles plus modestes, l’IA se charge de la majeure partie du travail, ce qui permet aux attaquants de se concentrer sur les victimes avec une plus grande valeur.
«Un agent conversationnel peut parler à 20 personnes à la fois», a rappelé M. Heywood.
Il a également entendu parler de personnes utilisant des lunettes de réalité augmentée qui permettent d’obtenir instantanément des informations sur une personne, y compris ses données personnelles vendues sur le «dark web», dès que vous les regardez, et d’autres qui travaillent à «jailbreaker» les «chatbots» d’IA en extrayant les informations personnelles que les personnes ont saisies.
L’évolution des attaques l’a convaincu que l’IA «change la donne».
«Dans les années 1990, ce sont les adolescents, les enfants et les étudiants qui s’introduisaient dans les sites web. Puis, récemment, nous sommes passés aux rançongiciels, qui consistaient à crypter les ordinateurs des entreprises. Aujourd’hui, l’accent est mis sur l’usurpation de l’identité d’une personne, une activité très importante qui est alimentée par l’IA», a expliqué M. Heywood.
Le Centre antifraude du Canada a déclaré que le pays a compté 15 941 victimes de fraude au cours du premier semestre de l’année, et que ces incidents ont entraîné la perte de 284 millions $. L’année précédente, il y a eu 41 988 victimes et 569 millions $ perdus.
MM. Heywood, Smetny et Villeneuve estiment que la lutte contre les attaquants n’est pas vaine et que les entreprises la prennent au sérieux.