Microsoft Threat Intelligence et OpenAI ont publié un rapport conjoint détaillant comment des groupes de hackers liés à la Corée du Nord utilisent des modèles de langage pour améliorer leurs opérations offensives. Cette révélation éclaire un aspect encore peu documenté de l’intersection entre IA et cybermenaces étatiques.
- Ce que le rapport révèle
- Les usages offensifs documentés
- Pas seulement la Corée du Nord
- Les garde-fous en place
- L'impact sur la cybersécurité
- Recommandations
- Questions fréquentes
- Quels groupes de hackers utilisent concrètement l’IA dans leurs attaques ?
- Les modèles open source représentent-ils un risque plus grand que les modèles commerciaux ?
- Comment les entreprises peuvent-elles se protéger contre le phishing assisté par IA ?
- Sources
Ce que le rapport révèle
Selon le rapport publié en février 2024, le groupe Emerald Sleet (aussi connu sous le nom Kimsuky), lié aux services de renseignement nord-coréens, a été surpris en train d’utiliser des LLM pour plusieurs tâches offensives. Microsoft et OpenAI ont identifié et désactivé les comptes concernés.
Les usages documentés incluent la recherche de vulnérabilités, la génération de scripts d’exploitation, la rédaction de contenus de phishing et la compréhension de technologies de défense.
Les usages offensifs documentés
- Recherche de vulnérabilités : interrogation de LLM sur des vulnérabilités connues dans des logiciels spécifiques, avec demande de code d’exploitation.
- Génération de malwares : utilisation de l’IA pour écrire et optimiser des scripts malveillants, notamment en PowerShell et Python.
- Phishing sophistiqué : rédaction de courriels de hameconnage dans un anglais parfait, adaptés au contexte professionnel de la cible.
- Compréhension défensive : questionnement sur les outils de détection (EDR, SIEM) pour mieux les contourner.
Pas seulement la Corée du Nord
Le rapport mentionne également des activités similaires de la part de groupes liés à la Russie (Forest Blizzard / APT28), à la Chine (Charcoal Typhoon, Salmon Typhoon) et à l’Iran (Crimson Sandstorm). L’utilisation de l’IA par des acteurs étatiques offensifs n’est plus une hypothèse : c’est une réalité documentée.
Les garde-fous en place
OpenAI et Microsoft affirment avoir mis en place plusieurs mécanismes :
- Détection et blocage des comptes associés à des acteurs étatiques malveillants.
- Filtres empêchant la génération de contenu offensif explicite.
- Collaboration avec les agences gouvernementales pour le partage de renseignements.
Cependant, ces garde-fous ont des limites. Les modèles open source, téléchargeables et exécutables localement, ne sont soumis à aucun filtre. Et les techniques de jailbreak permettent de contourner les restrictions des modèles en ligne.
L’impact sur la cybersécurité
L’IA ne révolutionne pas les techniques d’attaque, mais elle les accélère et les démocratise. Un attaquant de niveau intermédiaire peut désormais produire des malwares de niveau avancé. Les campagnes de phishing deviennent plus crédibles. La vitesse de développement des outils offensifs augmente.
Côté défense, l’IA est également utilisée : détection d’anomalies, analyse comportementale, threat hunting automatisé. La course IA offensive vs IA défensive est lancée.
Recommandations
- Les équipes de sécurité doivent intégrer les menaces IA dans leur modèle de risques.
- Les formations de sensibilisation doivent être mises à jour pour inclure le phishing assisté par IA.
- Les outils de détection doivent évoluer vers l’analyse comportementale plutôt que la détection par signatures.
L’IA renforce-t-elle davantage les attaquants ou les défenseurs en cybersécurité ?
Questions fréquentes
Quels groupes de hackers utilisent concrètement l’IA dans leurs attaques ?
Le rapport Microsoft-OpenAI identifie nommément Emerald Sleet (Kimsuky) côté nord-coréen, mais aussi Forest Blizzard (APT28, Russie), Charcoal Typhoon et Salmon Typhoon (Chine) ainsi que Crimson Sandstorm (Iran). Tous ont été surpris en train d’exploiter des modèles de langage pour des tâches offensives.
Les modèles open source représentent-ils un risque plus grand que les modèles commerciaux ?
Oui, car les modèles open source peuvent être téléchargés et exécutés localement sans aucun filtre de sécurité. Contrairement aux API commerciales qui bloquent les requêtes malveillantes, un LLM local ne dispose d’aucun garde-fou et peut générer du code offensif sans restriction.
Comment les entreprises peuvent-elles se protéger contre le phishing assisté par IA ?
Les formations de sensibilisation doivent être mises à jour pour inclure des exemples de phishing généré par IA, souvent grammaticalement parfait et contextuellement crédible. Les outils de détection doivent évoluer vers l’analyse comportementale plutôt que la simple détection par signatures ou mots-clés.
