Le monde de la cybersécurité vit un moment de grande inquiétude. Des chercheurs en sécurité ont récemment mis en lumière une vulnérabilité dans certains modèles d’intelligence artificielle qui, loin d’être simplement des outils d’assistance, pourraient être utilisés pour développer des logiciels malveillants, comme des infostealers, ces programmes qui dérobent vos mots de passe. Cela fait écho aux craintes croissantes quant à l’utilisation malveillante de l’IA, qui semble désormais capable d’aider à la création de logiciels espions.
Une technique de piratage innovante
Lors de leurs recherches, les experts de Cato Networks ont dévoilé une méthode inattendue, baptisée « Immersive World ». Plutôt que de demander directement un programme malveillant, les chercheurs ont créé un univers fictif dans lequel la création de logiciels espions est perçue comme une discipline légitime. Ce monde imaginaire permet aux chatbots d’ignorer les limitations de sécurité qui devraient normalement empêcher la génération de code malveillant. Cette approche a permis de tromper les IA comme ChatGPT, DeepSeek et Copilot, en les poussant à générer progressivement le code nécessaire à la création d’un infostealer.
Le danger des infostealers et des IA malveillantes
Les infostealers sont des outils courants utilisés par les cybercriminels pour voler des informations sensibles, notamment les identifiants et mots de passe. Une fois installés sur un système, souvent par des e-mails de hameçonnage ou via des liens malveillants, ces programmes peuvent intercepter les données stockées dans les gestionnaires de mots de passe et les transmettre à des attaquants. Ce type d’attaque représente un véritable danger, en particulier pour les entreprises et les utilisateurs individuels qui stockent une grande quantité d’informations sensibles en ligne.
L’attaque menée par Cato Networks a permis de confirmer l’efficacité de la méthode, puisque l’infostealer a réussi à voler des mots de passe de gestionnaires de mots de passe populaires comme ceux de Google. Ce résultat a mis en évidence les failles dans les systèmes actuels de protection des IA génératives, qui semblent insuffisants face à des techniques aussi astucieuses.
L’alerte des chercheurs et les réactions des géants de la tech
Face à cette vulnérabilité, Cato Networks a immédiatement alerté des acteurs majeurs du secteur, tels que DeepSeek, Microsoft et OpenAI, sur cette nouvelle faille. Cependant, seule Microsoft a réagi à l’alerte. Google, contacté à propos de l’infostealer, a refusé d’examiner le code proposé, tandis que DeepSeek est resté silencieux. Cette situation souligne un manque de réactivité qui pourrait compromettre davantage la sécurité des utilisateurs et des entreprises face à l’IA.
Les experts en cybersécurité tirent la sonnette d’alarme. Selon Vitaly Simonovich, chercheur chez Cato Networks, la capacité de l’IA à générer facilement des infostealers représente un véritable danger. Il insiste sur le fait qu’il est désormais crucial de renforcer les garde-fous des IA génératives pour empêcher leur utilisation malveillante.
En conclusion, l’émergence de techniques sophistiquées telles que « Immersive World » montre que les IA, malgré leurs bénéfices évidents, peuvent également être détournées pour des fins criminelles. Cela appelle à une réévaluation urgente des mécanismes de sécurité intégrés aux systèmes d’intelligence artificielle, afin de protéger les utilisateurs contre les menaces qui pèsent sur leurs informations personnelles et professionnelles.
