IA générative et géopolitique à l'agenda 2024 de la cybersécurité

En 2024, un utilisateur moyen aura plus de mal à déterminer si un courriel est légitime en vérifiant les fautes d'orthographe, les erreurs de grammaire et des aléas contextuels. Les attaquants continueront à utiliser l'IA générative et les grands modèles de langage (LLM) dans les campagnes de phishing, de SMS et d’autres opérations d'ingénierie sociale pour améliorer le contenu, y compris la voix et la vidéo. Toujours selon le rapport « Google Cloud Cybersecurity Forecast 2024 », l'IA générative facilitera les activités malveillantes à grande échelle.

Avec l’accès aux noms, à ceux des entreprise, aux intitulés de poste, aux départements ou aux données de santé, les cybercriminels n'auront peut-être même plus besoin d'utiliser des LLM malveillants, car l’utilisation de l'IA générative pour rédiger un rappel de facture n’aura rien de malveillant en soi. « Les attaquants utiliseront tout ce qu'ils peuvent pour brouiller les pistes entre applications d'IA inoffensives et malveillantes, de sorte que les défenseurs devront agir plus rapidement et plus efficacement en termes de réponse », a déclaré Phil Venables, RSSI, Google Cloud on AI, dans un communiqué.

La cyberdéfense tire profit aussi de l’IA générative

Le rapport évoque un possible surcroît de scepticisme et une méfiance accrue du public à l'égard des entreprises et des gouvernements face à la capacité de cette technologie à créer du faux (messages, photos, vidéos). Google Cloud prévoit également que l’IA générative et LLM malveillants vont devenir un business actif pour les cybercriminels .

La bonne nouvelle, c'est que les cyberdéfenseurs utiliseront des outils similaires pour lutter contre ces menaces. Selon les prévisions du fournisseur, l'IA va en grande partie servir aux entreprises pour synthétiser de grandes quantités de données et les contextualiser dans des renseignements sur les menaces afin d'obtenir des détections exploitables ou d'autres analyses. L'IA et l'IA Gen vont augmenter la capacité humaine à analyser et à déduire les mesures à prendre à partir de ces grands ensembles de données.

La géopolitique s’invite dans les menaces

Comme les attaquants cherchent à maintenir un accès persistant à un environnement aussi longtemps que possible, ils exploiteront les vulnérabilités zero day et les dispositifs edge pour maintenir cet accès plus longtemps en 2024. Cette prévision est basée sur le fait qu’en 2023, le nombre de vulnérabilités zero day dépasseront le précédent record établi en 2021. L’augmentation des actions menées par des hackers observée à la suite de l'invasion de l'Ukraine par la Russie devrait se poursuivre, car des activités similaires ont été observées lors du conflit entre le Hamas et Israël. Ces actions incluent des attaques DDoS, des fuites de données et des défaçages de sites.

Mandiant Intelligence estime que les succès obtenus par le passé par ces actions devraient relancer ces pratiques. Certains pays pourraient ajouter des logiciels malveillants de type « wiper », comme ce fut le cas avant l'invasion russe de l'Ukraine, quand des groupes APT russes ont accédé à des cibles ukrainiennes et lancé une attaque destructrice qui a coïncidé avec des opérations cinétiques. « Les tensions dans le détroit de Taïwan et d'autres menaces pour la sécurité mondiale, pourraient se traduire en 2024 par l'accès pré-positionné de logiciels malveillants destructeurs de type wiper à des cibles stratégiquement importantes », indique le rapport.

Modernisation des langages pour les attaques

Google Cloud a également prévu le ciblage des infrastructures spatiales, des attaques matures sur les environnements hybrides et multicloud, avec l’utilisation de plus de services sans serveur par les acteurs de la menace, la poursuite des opérations d'extorsion, l'espionnage et les botnets dormants, la réactivation d'anciennes techniques.

Les auteurs de logiciels malveillants continueront à développer davantage de logiciels dans des langages de programmation comme Go, Rust et Swift. En effet, ces langages offrent une excellente expérience de développement, des capacités de bas niveau, une vaste bibliothèque standard et une intégration facile avec des solutions de tierce-partie. Les développeurs seront ciblés par des attaques de la chaîne d'approvisionnement hébergée sur les gestionnaires de solutions. L'augmentation des assurances cyber devrait se traduire par une stabilité des primes. Google Cloud s'attend également à voir plus de consolidation dans le SecOps, car les clients veulent plus de risques intégrés et de renseignements sur les menaces dans leurs solutions d'opérations de sécurité.

Elections et JO sous surveillance

Une recrudescence des acteurs soutenus par des États et autres acteurs de la menace engagés dans des cyberactivités visant la prochaine élection présidentielle américaine, y compris l'espionnage et les opérations d'influence ciblant les systèmes électoraux, l'usurpation d'identité des candidats sur les médias sociaux et les opérations d'information destinées à cibler les électeurs. Il faut s’attendre aussi à une recrudescence du spearphishing et à d'autres attaques contre le gouvernement américain, en particulier de la part de la Chine, de la Russie et de l'Iran. Taïwan, la Corée du Sud, l'Inde et l'Indonésie organiseront aussi des élections qui devraient donner lieu à des activités similaires. Les élections du Parlement européen en juin seront une autre cible attractive pour les acteurs menant des opérations de cyberespionnage et d'information, la Russie étant désignée comme la menace la plus évidente dans les rapports. La Russie et la Chine ciblent de plus en plus les pays africains avec des cybercampagnes destinées à diffuser des informations erronées afin d'influencer l'Afrique en soutenant des régimes autoritaires, en semant la discorde et en sapant les institutions démocratiques. Le rapport estime que des groupes chinois et russes pourraient s'en prendre à l'industrie des minerais de terres rares, essentiels pour de nombreux produits de haute technologie comme les smartphones, les ordinateurs et les véhicules électriques.

Les cybercriminels pourraient s'attaquer aux systèmes de billetterie et aux marchandises des Jeux olympiques d'été organisés à Paris en 2024, en menant notamment des campagnes d’hameçonnage pour récolter des informations financières ou des identifiants. Enfin, l'année prochaine, la Chine, la Russie, la Corée du Nord et l'Iran devraient poursuivre leurs activités d'espionnage, de cybercriminalité, leurs opérations d'information et autres campagnes pour atteindre leurs objectifs nationaux. « La Chine, la Russie, la Corée du Nord et l'Iran disposent chacun de cybercapacités distinctes, déterminées par leurs besoins géopolitiques à court et à long terme. À mesure que les tensions augmentent dans le monde, en particulier dans les points chauds du Moyen-Orient, de l'Europe de l'Est et de l'Asie de l'Est, ces acteurs seront sans aucun doute mis à contribution, de sorte qu'une préparation ciblée sera vraiment essentielle », a déclaré Sandra Joyce, vice-présidente de Mandiant Intelligence et de Google Cloud pour les quatre grands pays.