Le chercheur en sécurité Michael Bargury a dévoilé lors de la conférence Black Hat USA comment l'IA Copilot de Microsoft peut être détournée à des fins malveillantes. Son outil LOLCopilot démontre la possibilité d'exploiter l'IA pour mener des campagnes de phishing automatisées et exfiltrer des données sensibles.
L'Homme est un loup pour l'Homme, et l'adage est valable pour l'intelligence artificielle, que nous avons créée pour booster notre productivité et qui pourrait bien se retourner contre nous. C'est le constat inquiétant dressé par Michael Bargury à la conférence Black Hat. Son étude montre les failles de sécurité de Copilot, l'assistant IA intégré aux applications Microsoft 365.
Il a réussi à transformer cet outil en véritable arme pour les pirates. En manipulant les demandes envoyées à l'IA, il a pu contourner les protections mises en place et accéder à des données confidentielles. Et pour ajouter un peu de pression, il a démontré comment automatiser l'envoi de mails de phishing ultra-ciblés. De quoi faire froid dans le dos aux équipes de sécurité du monde entier.
Copilot, nouvel outil de prédilection des hackers ?
L'outil LOLCopilot créé par Michael Bargury illustre parfaitement les risques. Une fois l'accès à un compte obtenu, il peut analyser les habitudes de communication de l'utilisateur via Copilot. Il génère ensuite des mails personnalisés imitant son style, y compris l'usage d’émojis. Ces messages peuvent inclure des liens malveillants ou des pièces jointes piégées.
L'automatisation permise par l'IA décuple l'efficacité des attaques. Là où un pirate passerait des heures à peaufiner un mail de phishing, LOLCopilot en produit des centaines en quelques minutes. La personnalisation poussée augmente considérablement les chances que la victime morde à l'hameçon.
D'autres techniques permettent d'extraire des informations sensibles sans laisser de traces ou de manipuler les réponses de Copilot pour fournir de fausses coordonnées bancaires. L'IA devient ainsi un vecteur d'attaque redoutable entre les mains d'un attaquant.
Se protéger face à cette nouvelle menace
Microsoft a salué le travail de Michael Bargury et assure prendre ces risques au sérieux. L'entreprise souligne avoir mis en place de nombreux mécanismes de sécurité dans Copilot. Cependant, comme bien souvent, les hackers sont coude-à-coude avec les chercheurs pour tenter de leur damer le pion.
En attendant des correctifs de Microsoft, Clubic vous recommande d'y aller à pas de loup sur Internet. Concernant vos données personnelles, comme leur nom l'indique, elles n'appartiennent qu'à vous. Ne les partagez, en entier ou en partie que si les demandes d'autorisation de partage proviennent d'une application ou d'un service que vous avez sollicité ou que vous utilisez souvent.
Si vous recevez un mail vous demandant de communiquer des informations personnelles, sachez premièrement qu'aucun organisme ne vous les demande par ce canal de communication. Ensuite, vérifiez bien l'adresse de l'expéditeur, et au moindre doute, car les hackeurs peuvent désormais utiliser des adresses mail identiques à des organismes légitimes, contactez cet organisme par votre canal habituel pour lui demander confirmation.
Si vous pensez avoir été victime de phishing, alors contactez l'organisme usurpé, ainsi que votre banque, pour bloquer toute transaction frauduleuse, et portez plainte auprès des autorités.
- Intégration de DALL-E 3 pour une création d'images plus créatives et réalistes
- Capacité de traitement des images par GPT-4 Vision pour des réponses contextuelles précises
- Interface conviviale et intégrée dans divers produits Microsoft
Source : Wired