Anton Cherepanov, chercheur en cybersécurité, a vu le truc arriver. Sur VirusTotal, un fichier uploadé en août dernier. Rien de bien méchant au premier abord. Sauf qu’en grattant un peu, il découvre quelque chose de nouveau : du code malveillant généré par une IA.
C’est ça, l’état réel de la menace aujourd’hui. Pendant que Sam Altman parle de risques existentiels lointains et que Google benchmarke son dernier modèle sur des tâches de compréhension de texte, les hackers utilisent GPT-4, Claude et compagnie pour écrire du malware, générer des emails de phishing hyper-convaincants, et automatiser des attaques qui demandaient auparavant des semaines de travail manuel.
Le pire, c’est qu’ils n’ont même pas besoin d’être des génies. Tu prends un script kiddie de 15 ans avec un abonnement ChatGPT Plus, tu lui donnes une idée vague (« fais-moi un ransomware qui cible les hôpitaux »), et l’IA fait le boulot technique. Elle écrit le code, elle trouve les failles, elle teste le truc. La barrière à l’entrée vient de tomber.
Le Copilot du crime organisé
Les chercheurs que j’ai croisés dans ces papiers du MIT Tech Review sont unanimes : on est passé d’une phase expérimentale (« regardez ce que l’IA peut faire ») à une phase opérationnelle (« voici comment on l’utilise en production »). Les groupes criminels organisés, les États-nations, tout le monde y va de sa petite automation.
Tu veux lancer une campagne de phishing qui cible spécifiquement les employés d’une boîte tech ? Plus besoin d’écrire des mails à la main en espérant que l’orthographe passe. L’IA analyse le style de communication interne, pompe le jargon corporate, et te pond un mail parfait qui ressemble à s’y méprendre à une annonce du service IT. Le taux d’ouverture explose.
Et la réponse des géants de l’IA, c’est que OpenAI, Anthropic, Google, tous ont des politiques d’usage interdisant ce genre d’activités. Super. Sauf que dans la vraie vie, comment tu fais pour contrôler ça ? Un hacker russe qui utilise un VPN et un compte créé avec une fausse identité, il s’en tape de tes conditions d’utilisation. Il paie en crypto, il génère son malware, et il disparaît.
La réponse actuelle, c’est un jeu du chat et de la souris où les modèles essaient de détecter les requêtes malveillantes et les hackers trouvent des moyens de les contourner. « Prompt injection », « jailbreak », tu connais le délire. C’est une course aux armements, et pour l’instant, les armes sont en vente libre.
Ce qui me fait marrer (jaune), c’est que c’est exactement l’inverse du discours marketing des boîtes d’IA. « On démocratise la création ! », « On rend la technologie accessible à tous ! ». Ouais, y compris aux escrocs, aux extorqueurs et aux cybercriminels. L’accessibilité, ça marche dans les deux sens.
Les mêmes outils qui aident un développeur à écrire une fonction Python propre aident un hacker à écrire un exploit zero-day. Les mêmes agents qui pourraient un jour gérer ton agenda peuvent déjà automatiser des attaques DDoS. La dual-use technology, c’est pas un concept abstrait, c’est la réalité de tous les jours maintenant.
Et les « agents sécurisés » dans tout ça ?
Le même article du MIT mentionne des recherches sur des « assistants IA sécurisés » qui pourraient aider à la défense. L’idée, c’est d’avoir des IA qui aident les analystes en sécurité à détecter les menaces plus vite, à répondre aux incidents, à patcher les vulnérabilités.
C’est bien, c’est nécessaire. Mais c’est encore au stade labo. Pendant ce temps, la version criminelle est déjà déployée sur le terrain. Le décalage est abyssal.
Le vrai risque existentiel
Finalement, le risque le plus immédiat de l’IA, c’est peut-être pas une superintelligence qui décide de nous éliminer. C’est des humains ordinaires, avec des intentions pourries, qui utilisent des outils extraordinaires pour nous faire du mal à une échelle industrielle.
Quand on te parlera des « agents IA qui vont révolutionner ta productivité », souviens-toi que la même technologie est en train de révolutionner le cybercrime. Et que pour l’instant, la révolution criminelle a une longueur d’avance.
Faut-il arrêter de développer ces outils ? Non, évidemment. Mais arrêter de faire semblant que les garde-fous actuels suffisent, oui. Parce que là, on est en train de fournir des lance-flammes à des pyromanes en se contentant de coller un autocollant « Ne pas diriger vers les personnes » sur le manche.
Sources :
Comments are closed