Daniel Púa, responsable de la sécurité chez Magnific : « L'utilisateur moyen devrait s'inquiéter car le phishing est affiné grâce à l'IA »

Daniel Púa, responsable de la sécurité chez Magnific : « L’utilisateur moyen devrait s’inquiéter car le phishing est affiné grâce à l’IA »

L’IA change tout, y compris la cybersécurité. Le lancement de Claude Mythos il y a quelques mois a tiré la sonnette d’alarme : l’IA est désormais capable de découvrir des dizaines de vulnérabilités cachées depuis des années. La peur est devenue la nouvelle ressource permettant aux entreprises d’IA d’annoncer leurs nouveaux modèles. La question est de savoir comment cela nous affecte, nous, simples mortels.

Des escroqueries plus sophistiquées. Pour Daniel Púa, responsable de la sécurité chez Magnific (anciennement Freepik), l’impact est clair : « L’utilisateur moyen devrait s’inquiéter car le phishing est affiné grâce à l’IA. » À ce stade, « nous avons tous été confrontés au phishing typique avec des fautes d’orthographe, avec des cas d’utilisation provenant de banques qui ne sont pas les nôtres, qui sont très faciles à identifier ». Cependant, avec l’IA, nous constatons à quel point les escroqueries deviennent de plus en plus sophistiquées et il nous sera de plus en plus difficile de les détecter.

« Les appels vont commencer à arriver avec la voix d’un membre de la famille, les appels vidéo avec la vidéo d’un membre de la famille et c’est là que les choses vont se compliquer »

Des voix clonées. « Les appels vont commencer à arriver avec la voix d’un membre de la famille, les appels vidéo avec la vidéo d’un membre de la famille et c’est là que les choses vont se compliquer », prévient Daniel. Bien qu’il ne s’agisse pas encore de la tentative d’arnaque la plus courante, les appels deepfake avec des voix clonées se faisant passer pour un membre de la famille en détresse posent déjà problème, au point que Google lui-même en est conscient et a introduit une fonctionnalité pour l’empêcher.

Prochaine étape : les appels vidéo. Comme le prévient Daniel Púa, les faux appels vidéo usurpant l’identité d’une autre personne sont déjà une réalité. À l’heure actuelle, nous avons connu des cas qui attaquent des entreprises, comme l’employé qui a transféré 25 millions de dollars lors d’un appel vidéo au cours duquel tout le monde était deepfake sauf lui, ou comme arme politique, mais ce n’est qu’une question de temps avant que cette technologie ne commence à être utilisée contre les citoyens ordinaires.

Des entreprises à l’utilisateur final. Púa le raconte depuis Magnific : « nous avons déjà de nombreuses tentatives d’arnaques en nous faisant passer pour notre PDG, sur WhatsApp, avec des audios et tout. » Et il anticipe comment cela va dégénérer vers l’utilisateur individuel : « une fois installés dans les entreprises, qui sont comme une mine d’or où ils peuvent l’exploiter davantage, ils passeront à l’utilisateur suivant, qui est l’utilisateur ordinaire (…) étant une arnaque beaucoup plus massive, ce n’est plus un objectif unique, mais il y a des centaines de milliers de personnes et certaines se feront piquer. »

Comment l’éviter. Le conseil de Púa est aussi simple que nécessaire : « tout le monde devrait avoir une deuxième méthode d’approbation. Si un membre de la famille vient vous demander quelque chose d’étrange, confirmez-le d’une autre manière. Par exemple, s’il vous appelle par téléphone, vous le confirmez sur WhatsApp. » Les experts en cybersécurité recommandent d’aller plus loin et de créer un mot de passe familial. Púa est d’accord : « Au cas où il vous demanderait quelque chose d’étrange, vous dites : « Quel est notre mot secret ? Et vous vous assurez que c’est la bonne personne. »

Le discours de la peur. Les entreprises d’IA utilisent la peur de la cybersécurité comme argument de vente pour leurs derniers modèles. Daniel Púa n’adhère pas à tous ces discours : « on a fait beaucoup de bruit à ce sujet. Je crois que c’est la prochaine étape dans cette avancée que l’on voit dans l’IA liée à la sécurité, mais je ne pense pas qu’il s’agisse d’un changement de paradigme comme beaucoup le vendent. » Il ne croit pas que Claude Mythos ait fait un saut aussi grand qu’ils nous l’ont vendu et l’illustre par une comparaison très claire : « si on dit que l’Opus 4.8 pourrait être un couteau, Mythos est peut-être une machette. C’est un peu plus dangereux, mais ils pourraient vous faire les mêmes dégâts avec les modèles précédents. »

Soyez prudent avec l’open source. Mais ce n’est pas parce que vous n’acceptez pas tous les discours qu’il n’y a pas de danger, il y a un secteur dans lequel c’est le cas : les projets open source. « Presque toutes les vulnérabilités découvertes par Mythos se trouvent dans des programmes open source, avec accès au code. C’est là que je vois un grand changement de paradigme. » Il explique pourquoi : « une personne normale peut mettre des jours ou des semaines et même se perdre dans ce flux et ne pas trouver la vulnérabilité. Un agent fonctionne bien mieux dans ce domaine car il peut suivre l’intégralité du flux en quelques secondes ou minutes. »

Images | Simseo avec Magnifique

À Simseo | Un inconnu vous appelle sur votre téléphone portable et raccroche avant que vous puissiez réagir. La pire chose que vous puissiez faire : rappeler