La cyber va bien, en fait plus que bien : hyperbien !

Cependant, il est important de noter que les cybercriminels sont de plus en plus sophistiqués et utilisent des techniques avancées pour contourner les mesures de sécurité traditionnelles. Les attaques de phishing, les attaques par rançongiciels et les attaques ciblées sont devenues de plus en plus courantes et nécessitent des mesures de protection plus avancées pour les contrer.

En résumé, les mesures de protection cyber ont évolué pour répondre aux menaces en constante évolution en 2023, mais il est essentiel que les entreprises et les organisations restent vigilantes et continuent de mettre à jour et d’améliorer leurs mesures de protection pour rester en avance sur les cybercriminels. »

À découvrir → Panorama de la cybermenace : que retenir du rapport de l’ANSSI ?

On croirait un texte pareil sorti d’une officine de conseil avec des consultants encravatés comme pour un dimanche. Que nenni ! J’ai juste demandé à ChatGPT si les mesures de protection cyber étaient efficaces en 2023. Inutile de dire qu’avec un outil pareil le site bullshitor.com devient totalement obsolète.

La lecture d’un récent article dans la MIT Technology Revue donne pourtant un autre son de cloche : malgré les protections mises en place, il est extrêmement facile de faire tenir des propos racistes ou pires au bot, voire à lui demander la recette de cuisine pour fabriquer une bombe. D’aucuns pensent d’ailleurs que ce problème n’a pas de solution : l’ambiguïté inhérente au langage naturel permettra toujours les contournements. L’article de préciser du reste que « les modèles de langue agissent comme des ordinateurs sur lesquels on peut exécuter un code malveillant ». Traduction : on y est tous, jusqu’au nombril.

Point marquant s’il en est : alors que les administrations des pays occidentaux ne sont pas spécialement réputées pour leur réactivité, bon nombre d’entre elles envisagent de légiférer pour interdire tout bonnement ChatGTP (l’Italie en tête, mais aussi la Suisse et l’Allemagne). Sur la faisabilité, faudra tout de même m’expliquer comment on va s’y prendre : depuis l’inénarrable 3615 Ulla, 50 piges au bas mot, on cherche à interdire le porno, sans aucun résultat à ce jour. Alors interdire un bot…

Le Heidi News (Suisse) soutient de son côté que si l’ère des fakes news a été le début de la fin du journalisme, l’ère des IA-chats va soit définitivement tuer les journalistes, soit en faire des « marchands de vrai », à savoir créer un métier qui consiste à garantir que les informations publiées sont exactes. Les malwares touchaient en général les couches basses des SI ; il s’agit là, à ma connaissance, de la première fois qu’un malware peut-être qualifié de « sémantique » au sens où il trafique la réalité, sorte de fake news generator version 2.0. C’est d’ailleurs, à mon avis, le point qui devrait le plus inquiéter les autorités (hors cyber s’entend). Le Journal de Montréal mentionne à ce propos un fait divers où des malfaiteurs ont réussi à cloner la voix d’une adolescente afin de faire croire à ses parents que la jeune fille avait été enlevée (la motivation financière donne des idées).

Le New York Times note quant à lui que l’IA est capable de générer des pièces mécaniques en 3D (tâche apparemment très complexe) mieux et plus vite qu’aucune équipe d’humains. Mais les news qui proviennent des experts cyber sont pour le moins inquiétantes : la semaine dernière, plusieurs experts ont réussi à faire coder à une IA des malwares contournant sans problème les EDR – vous noterez le silence étonnant des éditeurs de protection antimalware sur ce sujet. Si vous avez des news, je suis preneur. Bref, si la mayonnaise prend, nul doute qu’elle va se démocratiser à vitesse grand V et que l’on en verra les premiers exemplaires sur nos SI avant fin 2023. Penser à passer en Full Zero Trust (note pour moi-même).

Un des futurs probables ressemble au générique de Game of Thrones, où l’on voit de modestes places fortes s’ériger elles-mêmes progressivement en châteaux imprenables. À force de passer en Zero Trust tout ce qui peut l’être, on va bientôt finir par n’accepter de connexion entrante que de serveurs identifiés dans des White Lists, avec des SPF nickel chrome, des adresses IP identifiées, des certificats ultrasignés, voire une photocopie recto verso de la pièce d’identité du demandeur.

Mais alors, me direz-vous, au milieu de tout ce foutoir, pourquoi prétendre que tout va bien ? Ben pardi, parce que grâce à la réforme des retraites, on a tous 2 ans de plus pour sécuriser cette chienlit et finir le job !

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.