Lors de Kaspersky Horizons, l’entreprise de sécurité voit de nouvelles menaces apparaître à l’horizon. L’IA provoque déjà une onde de choc dans la cybersécurité, les ordinateurs quantiques sont un ouragan imminent.
Dans la chaleur étouffante de Madrid, l’hôtel de luxe Riú, autrefois le plus haut bâtiment d’Espagne, apporte un souffle de fraîcheur bienvenu. La salle au nom peu original Madrid 5 sert de décor à la conférence Horizon de Kaspersky. Selon l’entreprise de sécurité, de nouvelles menaces se profilent à l’horizon.
lire aussi
L’ère des attaques d’hameçonnage pitoyables est révolue
Les thèmes principaux sont choisis de manière délibérée. Les sessions sont divisées en deux blocs de façon presque scolaire, avec la matinée consacrée à l’IA et l’après-midi au quantique. « L’IA bouleverse la cybersécurité. Que se passera-t-il si nous y ajoutons des ordinateurs quantiques ? », se demande à haute voix Oscar Suela, directeur de Kaspersky pour la péninsule ibérique.
Adolescents pirates
L’intervenant Clément Domingo, un pirate éthique français et « cyber-évangéliste », plonge régulièrement dans les profondeurs du monde en ligne pour ses recherches et constate que la cybercriminalité a adopté l’IA. « J’ose dire que les cybercriminels sont actuellement en avance sur nous. Des adolescents peuvent maintenant facilement pirater les plus grandes entreprises du monde ».
À sa grande frustration, Domingo voit trop souvent ses avertissements tomber dans l’oreille d’un sourd. « La plus grande erreur réside dans la façon dont les entreprises traitent leurs employés. Les fournisseurs peuvent vous aider avec la technologie, mais cela ne sert à rien si vous ne savez pas ce qui se passe derrière vos propres portes. Les gens sont votre dernière ligne de défense. Les sensibiliser ne se fait pas avec une explication technique, mais en rendant la sécurité visible, tangible et compréhensible ».
Des adolescents peuvent facilement pirater les plus grandes entreprises du monde.
Clément Domingo, pirate éthique
Six principes
C’est aux entreprises comme Kaspersky d’y apporter du changement. Jochen Michels souligne l’importance de la collaboration pour reprendre l’avantage. Son poste de responsable des affaires publiques est peut-être plus important pour Kaspersky que pour n’importe quel autre acteur de la sécurité.
« Les attaquants utilisent l’IA pour augmenter à la fois la quantité et la qualité de leurs attaques. Il va de soi que nous ne devrions développer l’IA que pour la défense, mais nous ne devons pas être aveugles au fait que la technologie est mal utilisée. Les criminels collaborent, donc nous devons aussi le faire du “bon côté” », déclare Michels.
Kaspersky a établi six directives éthiques, qui doivent servir de guide pour les entreprises développant des applications d’IA. Dans l’ordre où elles apparaissent sur les diapositives de Michels : transparence, sécurité, contrôle humain, confidentialité, développé pour la cybersécurité et ouvert au dialogue. Michels : « Cela commence par informer honnêtement les clients si et pour quoi vous utilisez l’IA dans vos produits ».
Réprimande pour Meta
Domingo et Liliana Costa, « philosophe de la technologie » et fondatrice de l’entreprise espagnole Thinker Soul, sont entièrement d’accord avec les principes, mais notent qu’ils ne sont pas toujours respectés dans la réalité. « Les entreprises font souvent semblant d’être ouvertes à l’éthique, jusqu’à ce qu’on leur demande de l’appliquer effectivement. Alors elles veulent vous pendre. Il y a une concentration de pouvoir dans le secteur qui mine la confiance dans la technologie », Costa ne mâche pas ses mots.
Domingo voit le manque de transparence comme le plus grand problème. « Tout le monde veut mettre sur le marché le modèle le plus nouveau et le plus impressionnant. Nous ne savons pas assez comment les modèles ont été éduqués. Les gens font confiance à ChatGPT aujourd’hui. L’IA apprend tout aussi bien des mauvaises entrées des gens : si vous dites assez souvent que le ciel est rouge au lieu de bleu, elle le croira ».
Une entreprise reçoit une réprimande supplémentaire de Domingo : Meta. « Donner à l’IA l’accès aux photos privées sur votre téléphone est de la folie. La technologie des grands acteurs peut tout aussi bien être piratée, même s’ils prétendent avoir les normes les plus élevées. C’est déjà arrivé avec WhatsApp. Les gens doivent vraiment apprendre à réaliser que si vous cédez vos données, elles ne vous appartiennent plus ».
« Nous avons essayé pendant des années de faire comprendre aux gens de ne pas partager d’informations personnelles sur les réseaux sociaux. Maintenant, ils viennent les chercher eux-mêmes sur votre téléphone », intervient Marc Rivero, analyste chez Kaspersky et joueur à domicile.
« Le danger réside dans le fait que les gens sont paresseux. S’ils sentent que la technologie les aide, peu leur importe comment elle fonctionne. Alors ils mettent simplement des données dans des applications d’IA sans se demander si elles pourront un jour être utilisées contre eux. Plus nous sommes à l’aise avec l’IA, moins nous l’utilisons en toute sécurité ».
Les gens sont paresseux. Plus nous sommes à l’aise avec l’IA, moins nous l’utilisons en toute sécurité.
Marc Rivero, chercheur senior en sécurité chez Kaspersky
Quantique : menace ou opportunité ?
Après le déjeuner, l’accent des débats se déplace vers la technologie quantique : un autre sujet tendance dans les salons informatiques. Sergey Lohzkin de l’équipe de recherche GReAT de Kaspersky ne veut pas que sa présentation soit trop lourde à digérer. « Je ne vais pas essayer de vous expliquer comment fonctionne un processeur quantique. Vous n’avez pas besoin de le comprendre pour savoir que les ordinateurs quantiques auront un impact sur la sécurité ».
Kaspersky veut déjà alerter le monde sur les menaces futures qui deviendront réalité avec les ordinateurs quantiques. Lohzkin : « Les gouvernements investissent beaucoup dans la technologie quantique dans la course à la suprématie. C’est un idéal théorique, mais ce qui est beaucoup plus pertinent pour moi, c’est qu’ils vont casser les protocoles de chiffrement ».
« Les ordinateurs quantiques peuvent devenir de puissantes armes d’espionnage s’ils tombent entre les mains d’acteurs malveillants. Les fichiers peuvent déjà être volés et déchiffrés plus tard avec la technologie quantique. La pression pour mettre en œuvre des protocoles quantiques augmentera, mais pour l’instant, peu de choses se passent, jusqu’à ce que le premier ‘piratage quantique’ devienne une réalité », prédit Lohzkin.
lire aussi
Cryptographie à l’ère (post-)quantique : guépard rapide ou paresseux lent ?
Johannes Verst, présent au nom du Quantum Business Network, se place dans le camp des optimistes quantiques. « Notre objectif est d’encourager les entreprises à penser dès maintenant au quantique, tant aux risques qu’aux opportunités. Vous devez voir la sécurité quantique comme une couche supplémentaire que vous ajoutez par-dessus la sécurité traditionnelle ».
« Si nous pouvons lier les investissements dans le quantique à la valeur commerciale et réduire les coûts, de nombreux cas d’utilisation sont possibles. La combinaison de l’IA et du quantique est une dream team. Le quantique élimine les limitations des ordinateurs traditionnels, ce qui ne signifie pas que nous n’aurons plus besoin de HPC traditionnels à l’avenir », poursuit Verst.
Favori de l’ombre
Lohzkin remarque dans un panel que l’Europe se laisse évincer de la scène quantique. À tort, selon Verst. « Les Américains sont généralement meilleurs en marketing que les Européens. Ils vendent une technologie avant même qu’elle ne soit utilisée. Cela ne rend pas la technologie en Europe moins bonne. Il n’y a pas un seul leader mondial dans la technologie quantique ».
« Nous disposons de très bonnes startups qui réussissent déjà à mettre des systèmes en service. Il y a quelques années, nous ne parlions de technologie quantique qu’avec des ingénieurs. Maintenant, cela attire de larges investissements, mais les ingénieurs doivent encore apprendre à parler aux clients », conclut-il.