Google découvre des pirates informatiques qui utilisent l'IA Gemini à mauvais escient

Google a identifié de nombreux groupes de pirates parrainés par l'État qui tentent d'exploiter sa plateforme Gemini AI à des fins malveillantes, notamment pour aider au développement de logiciels malveillants. Toutefois, le géant de la technologie indique que ces efforts n'ont pas débouché sur des cybermenaces importantes, soulignant que l'IA reste un outil plutôt qu'un facteur de changement pour les cybercriminels.

Selon les conclusions de Google, des pirates iraniens, nord-coréens, chinois et russes ont utilisé Gemini pour des tâches telles que la traduction de contenus, le perfectionnement d'attaques de phishing et l'écriture de codes informatiques. L'entreprise a retracé cette activité jusqu'à plus de 10 groupes de pirates iraniens, 20 groupes soutenus par le gouvernement chinois et 9 acteurs de la menace nord-coréens.

"Les acteurs APT (advanced persistent threat) iraniens étaient les plus gros utilisateurs de Gemini, l'employant pour des recherches sur les organisations de défense, l'analyse des vulnérabilités et la création de contenu pour des campagnes de désinformation", a indiqué Google dans un billet de blog mercredi.

Malgré ces tentatives, Google maintient que Gemini a principalement fourni à ces acteurs des améliorations de productivité plutôt que des capacités de piratage directes. "À l'heure actuelle, ils utilisent principalement l'IA pour la recherche, le dépannage du code et la création et la localisation de contenu", a déclaré l'entreprise.

Crédit photo: Jaque Silva | NurPhoto

Google a également souligné les limites auxquelles les pirates ont été confrontés lorsqu'ils ont essayé d'utiliser Gemini pour des tâches malveillantes plus avancées. Bien que l'IA les ait aidés à comprendre des sujets complexes et à générer du code de base, ses garanties de sécurité ont empêché l'utilisation abusive de cyberattaques. Les tentatives d'exploitation de Gemini pour des techniques de phishing avancées, le codage de logiciels malveillants ou le contournement des mesures de sécurité de Google ont échoué.

"Certains acteurs malveillants ont tenté en vain de demander à Gemini des conseils sur l'utilisation abusive des produits Google, tels que des techniques avancées d'hameçonnage pour Gmail, une aide au codage d'un voleur d'informations pour Chrome et des méthodes pour contourner les méthodes de vérification de la création de compte de Google", a indiqué l'entreprise. "Ces tentatives ont échoué. Gemini n'a pas produit de logiciels malveillants ou d'autres contenus susceptibles d'être utilisés dans le cadre d'une campagne malveillante réussie".

Google a toutefois reconnu que des outils d'IA comme Gemini pouvaient accélérer les flux de travail des acteurs de la cybermenace, en leur permettant d'opérer plus efficacement et à plus grande échelle. Par exemple, une opération de propagande basée en Iran a utilisé Gemini pour améliorer les traductions, garantissant ainsi que ses campagnes de désinformation atteignent un public plus large. Par ailleurs, des pirates informatiques liés à la Corée du Nord ont utilisé le chatbot pour rédiger des lettres de motivation et recueillir des conseils en matière de recherche d'emploi sur LinkedIn, ce qui pourrait les aider à obtenir des postes informatiques à distance dans des entreprises américaines, une préoccupation croissante des enquêteurs fédéraux.

"Le groupe a également utilisé Gemini pour obtenir des informations sur les échanges d'employés à l'étranger. La plupart des sujets abordés sont communs à tous ceux qui recherchent et postulent à des emplois", note Google.

Les conclusions de Google font écho à des découvertes similaires faites par OpenAI. Il y a un an, OpenAI a détecté plusieurs groupes parrainés par l'État qui tentaient d'utiliser ChatGPT à mauvais escient. Toutefois, son enquête a révélé que ces pirates utilisaient principalement le chatbot pour augmenter légèrement leur productivité plutôt que pour exécuter des cyberattaques avancées.

En réponse à ces menaces, Google a renforcé ses protocoles de sécurité en matière d'IA. L'entreprise teste en permanence les défenses de Gemini pour prévenir les abus et collabore avec les forces de l'ordre si nécessaire. "Nous enquêtons sur les abus de nos produits, services, utilisateurs et plateformes, y compris les cyberactivités malveillantes menées par des acteurs de menace soutenus par le gouvernement, et nous collaborons avec les forces de l'ordre le cas échéant", a déclaré Google.

En outre, Google s'efforce activement de perturber ces cybermenaces en supprimant de ses plateformes les acteurs soupçonnés d'être malveillants. Cette attitude proactive souligne l'engagement de l'entreprise à assurer la sécurité de ses outils d'intelligence artificielle tout en reconnaissant l'évolution des risques posés par les pirates informatiques soutenus par des États.