Secu
Oui, les agents IA peuvent hacker seuls vos systèmes d’information
Par Laurent Delattre, publié le 08 juillet 2024
Une étude de l’université de l’Illinois montre comment des Agents IA peuvent être entrainés et utilisés pour découvrir des vulnérabilités et infiltrer les systèmes de façon autonomes.
Ceux que l’IA fait déjà « flipper » ne vont pas être plus rassurés, loin s’en faut. Des chercheurs de l’université américaine de l’Illinois se sont livrés à une petite expérimentation en s’appuyant sur les capacités du modèle GPT-4 d’OpenAI. En l’occurrence, ils ont appris à un ensemble d’Agents IA la description d’une faille CVE publiée bien après l’entraînement du modèle LLM GPT-4 qu’ils utilisent. Ces agents se sont alors révélés capables en simplement « analysant » la description de cette faille CVE non seulement d’élaborer un moyen de détecter la présence de cette faille dans un environnement de tests, mais aussi d’exploiter cette faille pour infiltrer les systèmes affectés.
« Si votre site web présente une vulnérabilité courante qu’un testeur d’intrusion junior pourrait trouver, alors elle peut être trouvée par des agents autonomes à grande échelle », alerte le professeur Daniel Kang, qui a dirigé l’étude.
Ce qui inquiète particulièrement les experts, c’est la capacité de ces agents à opérer de manière totalement autonome. Contrairement aux outils traditionnels qui nécessitent une supervision humaine, ces IA peuvent lancer seules des attaques à grande échelle.
Certains experts en cybersécurité estiment que cette étude confirme leurs soupçons : des organisations du Dark Web, et particulièrement certains hackers pilotés par des États, semblent déjà exploiter de telles intelligences artificielles pour détecter des failles à travers le WEB.
Pour les chercheurs, rien ne prouve que ces agents intelligents « cyberattaquants » sont capables de détecter des failles encore inconnues. En revanche, ils se sont montrés capables d’exploiter des vulnérabilités nouvellement découvertes et publiées dans la base CVE dans 53% des tests alors même que des scanners populaires comme ZAP et Metasploit n’ont pu les détecter.
Ce qui inquiète les chercheurs, c’est que de tels agents peuvent permettre aux cybercriminels de réduire encore un peu plus le temps qui sépare la publication d’une faille et le moment où ils sont techniquement capables de l’exploiter.
Ils invitent dès lors les entreprises et les éditeurs de cybersécurité à exploiter le potentiel de tels agents pour découvrir les failles plus rapidement et alerter les administrateurs et RSSI au plus tôt et avant que les cybercriminels n’en fassent autant.
Bref, on n’a pas fini d’entendre parler du potentiel des IA génératives dans la cybersécurité, du côté des cyberdéfenseurs comme du côté des cyberattaquants.
À LIRE AUSSI :
À LIRE AUSSI :