Quatre changements majeurs en cybersécurité qui comptent aujourd'hui et demain

Beaucoup de choses peuvent changer en un an. Ou plutôt, beaucoup de choses peuvent changer en six mois dans le domaine de la cybersécurité. Malheureusement, la plupart d'entre nous, simples mortels, n'avons tout simplement pas le temps d'effectuer des contrôles de sécurité quotidiens. Heureusement que notre directeur principal de la sécurité de l'information, de la sécurité des produits et des réactions mondiales, Quentyn Taylor, est là, avec sa vaste expertise, pour nous préparer à ce qui nous attend.

Les « deepfakes » à faible coût se généralisent

Les deepfakes peuvent inonder nos fils d'actualité, mais la curiosité, la prudence et le bon sens humains peuvent nous aider à nous en protéger.

« Avec assez d'argent, n'importe qui peut créer des deepfakes si réalistes qu'il est difficile de les distinguer de la réalité », explique Quentyn. « Toutefois, à l'heure actuelle, en raison de l'investissement nécessaire, ils visent principalement des cibles de grande valeur. Mais comme le coût de création de ces deepfakes diminue, nous commençons à en voir bien plus souvent. » Il prévoit ainsi une augmentation massive de vidéos, de messages vocaux et d'appels téléphoniques falsifiés, tout cela dans le but d'extorquer de l'argent à un grand nombre de personnes. « Cela fera tellement partie du quotidien que nous devrons trouver des moyens très humains de nous en prémunir : par exemple, instaurer un "mot de sécurité" familial est une façon simple de vérifier l'identité de la personne à qui l'on parle. »

Il avertit également que ce procédé étant de plus en plus facile, le torrent actuel de création de deepfakes sur les réseaux sociaux devrait se transformer en véritable déluge. « Il peut s'agir de comptes de réseaux sociaux compromis de membres de la famille qui vous demandent de l'argent, de vidéos conçues pour toucher votre sensibilité et vous demander des dons ou de faux témoignages sur des produits miracles. N'importe quoi pour convaincre les gens de donner de l'argent. Tout ceci existe déjà et nous ne sommes pas au bout de nos peines. C'est loin d'être terminé. »

Les logiciels malveillants se multiplient

Les criminels utilisent l'IA pour accélérer l'envoi de logiciels malveillants, mais le code lui-même ne devient pas plus intelligent.

« L'IA est-elle en train de révolutionner les logiciels malveillants eux-mêmes ? Pas vraiment. Mais elle les fait évoluer », déclare Quentyn. Si vous n'avez jamais été confronté à des logiciels malveillants, il est fort probable que vous ayez eu de la chance ou que vous ayez pris des précautions. Un logiciel malveillant peut s'introduire sur votre appareil au moyen d'un hameçonnage et être utilisé pour dérober des données ou même permettre à quelqu'un d'autre d'en prendre le contrôle.

« Grâce à l'IA, les criminels peuvent rendre les leurres d'hameçonnage beaucoup plus réalistes », explique Quentyn. « Autrefois, nous pouvions facilement les repérer grâce à des fautes d'orthographe ou de grammaire révélatrices, ou simplement parce que leur ton n'était pas approprié. Mais, selon le LLM [un grand modèle de langage tel que ChatGPT, Gemini ou Claude] utilisé, un e-mail peut être rédigé dans un style très spécifique et même prendre en compte ce qui aura le plus d'impact sur une personne en particulier. »

Toutefois, il estime que l'influence de l'IA sur les logiciels malveillants pourrait ne pas s'arrêter là. « Pour l'instant, nous n'avons pas encore observé d'utilisation de l'IA pour écrire le code des logiciels malveillants », précise-t-il. « Mais l'IA permet aux criminels de travailler plus efficacement et d'augmenter le volume des attaques. Par exemple, elle peut servir à générer rapidement des logiciels malveillants, car un code destiné à ne fonctionner qu'une seule fois et à être diffusé rapidement n'a pas besoin d'être de bonne qualité. » En plus de faciliter la génération, la recherche et le ciblage, l'IA peut également favoriser une personnalisation massive en raison de sa capacité à envoyer des milliers de messages en apparence légitimes et personnalisés. Plus de messages = plus de victimes. Donc, restez sur vos gardes, réfléchissez avant de cliquer et faites confiance à votre instinct.

Se préparer à un avenir quantique

Les ordinateurs quantiques feront leur apparition dans un avenir proche et les entreprises doivent assurer la sécurité des données de leurs clients, tout en demeurant en conformité avec les exigences légales.

Si vous ne savez pas ce qu'est un « ordinateur quantique », ce n'est pas grave et c'est tout à fait compréhensible. Un peu de patience, nous allons vous expliquer. Il s'agit d'ordinateurs surpuissants qui sont capables de résoudre certains problèmes bien plus rapidement que les ordinateurs actuels. Ils pourront briser même les protections de sécurité les plus solides en quelques secondes. Cependant, ajoute Quentyn, « les ordinateurs quantiques n'ont presque pas évolué, c'est-à-dire qu'ils sont encore hors de portée, mais presque prêts ». À cause de l'IA, ils sont un peu passés au second plan, mais avec les lois sur la sécurité des données qui sont mises en place, les organisations doivent se préparer à l'avenir. »

Mais comment ? En évaluant leurs données et en les sécurisant à l'aide d'une sorte de méthode de cryptographie conçue pour les protéger contre les attaques effectuées à l'aide d'ordinateurs quantiques. « Et aujourd'hui, rien n'empêche de passer à un chiffrement des données à sécurité quantique », souligne-t-il.

La mort des primes aux bogues

L'IA rend la recherche de bogues dans le code plus rapide et moins coûteuse, mais il sera toujours nécessaire de faire appel à des chercheurs humains pour repérer les problèmes les moins évidents.

La prime aux bogues (en anglais : « Bug bounty ») est le drôle de nom qui désigne la rémunération offerte aux personnes qui trouvent et signalent des vulnérabilités dans des produits, des logiciels ou des systèmes. Cela a plutôt bien fonctionné, mais les temps ont changé. « C'était censé servir essentiellement à trouver des conséquences involontaires », explique Quentyn. « Par exemple, imaginez qu'une photo sur un réseau social soit signalée comme inappropriée par un utilisateur, mais qu'alors l'outil de modération intégré à la plateforme lui montre de nombreuses autres photos en lui demandant s'il faut également les supprimer. Sauf que celles-ci sont en mode privé… Rien n'a planté ni dysfonctionné, mais cela représente un énorme problème de confidentialité. »

Aujourd'hui, les incitations financières font que les chasseurs de bogues ont tendance à éviter ces angles morts et à se concentrer sur les victoires faciles : bogues et failles de code. Mais ces tâches sont de plus en plus prises en charge à moindre coût par des outils d'IA, « parce que l'IA n'a pas besoin de dormir et peut littéralement exécuter chaque test et travailler jusqu'à obtenir toutes les réponses ». Pendant ce temps, les chercheurs internes se concentrent désormais sur les fonctionnalités problématiques, les comportements inattendus et les vulnérabilités cachées. Toute l'attention est ainsi concentrée sur la création d'une expérience beaucoup plus fluide et sécurisée pour les utilisateurs.

Bien qu'il semble inévitable que l'IA continue à jouer un rôle prédominant en matière de sécurité, Quentyn accorde également de l'importance à la pensée critique et stratégique à grande échelle, autrement dit, à la touche « humaine ». Car, comme il le souligne, il ne faut pas oublier que, parfois, l'outil de protection le plus efficace reste notre humanité, et que même une cybercriminalité sophistiquée optimisée par l'IA peut souvent être contrée par le scepticisme et un mot de sécurité.