Radio Cadena Agramonte emisiora de Camagüey
États-Unis, 3 septembre - L’intelligence artificielle facilite-t-elle la tâche de certains cybercriminels ? Les attaques informatiques, jadis réservées aux spécialistes, sont désormais accessibles aux novices, qui parviennent à manipuler les robots conversationnels à des fins illégitimes.
Ce phénomène est appelé “vibe hacking”, en référence au “vibe coding”, qui désigne la création de code informatique par des personnes non initiées. Il marque une “évolution préoccupante de la cybercriminalité assistée par l’IA”, comme l’a souligné l’entreprise américaine Anthropic.
Dans un rapport publié mercredi dernier, la société concurrente d’OpenAI et de son robot ChatGPT a révélé qu’“un cybercriminel a utilisé Claude Code pour mener une opération d’extorsion de données à grande échelle, avec des cibles internationales multiples en peu de temps”.
Ainsi, le robot conversationnel Claude Code, spécialisé dans la création de code informatique, a été manipulé pour “automatiser” la collecte de données personnelles et de mots de passe, entre autres, “affectant potentiellement au moins 17 organisations au cours du dernier mois, y compris des institutions gouvernementales, de santé, d’urgence et religieuses”, a précisé Anthropic.
Avec ces informations en main, l’utilisateur a envoyé des demandes de rançon pour les données obtenues, allant jusqu’à 500 000 dollars. Un processus que, malgré les “mesures de sécurité sophistiquées mises en place”, Anthropic n’a pas su empêcher.
Le cas d’Anthropic n’est pas isolé et résonne avec les préoccupations qui secouent le secteur de la cybersécurité depuis l’accessibilité massive, à des millions d’utilisateurs, d’outils d’IA générative.
“Tout comme l’ensemble des utilisateurs, les cybercriminels ont adopté l’IA”, indique à l’AFP Rodrigue Le Bayon, responsable du centre d’alerte et de réaction aux cyberattaques (CERT) d’Orange Cyberdéfense.
Dans un rapport publié en juin, OpenAI a reconnu que ChatGPT avait aidé un utilisateur à développer un logiciel malveillant ou “malware”.
Les modèles développés comprennent des mesures de sécurité qui, censément, doivent empêcher l’utilisation de leurs capacités à des fins criminelles.
Cependant, il existe des techniques qui “permettent de contourner les limites des grands modèles de langage, afin qu’ils produisent du contenu qu’ils ne devraient pas générer”, explique à l’AFP le spécialiste Vitaly Simonovich.
Ce chercheur, qui travaille pour l’entreprise israélienne de cybersécurité Cato Networks, a déclaré en mars avoir détecté un moyen par lequel des utilisateurs peu expérimentés peuvent créer des programmes capables de voler des mots de passe.
Cette technique, qu’il a qualifiée de “monde immersif”, consiste à décrire à un chatbot un univers imaginaire où “la création de logiciels malveillants est un art”, et à demander à un robot conversationnel d’agir en tant qu’“artiste” de cette réalité.
“C’était ma façon de tester les limites des modèles de langage actuels”, précise Simonovich, qui n’a pas réussi avec Gemini (Google) ni avec Claude (Anthropic), mais qui a généré du code malveillant avec ChatGPT, Deepseek et Copilot (Microsoft).
Selon lui, “l’essor des menaces provenant d’acteurs inexpérimentés représentera un danger croissant pour les organisations”.
Rodrigue Le Bayon voit un risque à court terme que “le nombre de victimes” de ces escroqueries augmente, et insiste sur l’urgence de renforcer la sécurité des modèles d’IA. (Texte et photo: Cubasí)
