Alerte Sécurité Gmail : Urgence face aux attaques croissantes !

Mis à jour le 25 décembre 2024 : Cet article, publié à l’origine le 23 décembre, offre désormais un éclairage supplémentaire sur la manière dont les attaquants exploitent l’IA, accompagné de conseils d’experts pour faire face à ces menaces. Il inclut également des détails issus de nouvelles recherches du groupe de sécurité Unit 42 de Palo Alto Networks, concernant l’utilisation de modèles de langage à grande échelle pour produire des logiciels malveillants en JavaScript.

La plateforme de messagerie gratuite la plus utilisée au monde est sous la menace d’attaquants exploitant des menaces pilotées par l’intelligence artificielle. Avec 2,5 milliards d’utilisateurs, selon les chiffres de Google, Gmail n’est pas la seule cible, mais elle demeure la plus importante. Voici ce que vous devez savoir et faire pour vous protéger, dès maintenant.

ForbesElon Musk Xmail Teaser Poses New Threat For Billions Of Gmail UsersPar Davey Winder

La menace de l’IA pour des milliards d’utilisateurs de Gmail expliquée

Gmail n’est certainement pas à l’abri des attaques avancées de la part d’acteurs malveillants qui cherchent à exploiter le précieux réservoir de données sensibles présent dans une boîte aux lettres. Comme je l’ai récemment rapporté, il existe une attaque en cours de notification par Google Calendar qui dépend des fonctionnalités de Gmail pour réussir. De plus, Google a également mis en garde contre une nouvelle vague d’attaques ciblant Gmail, comprenant l’extorsion et le phishing basé sur des factures. Avec des avertissements d’Apple concernant des attaques de logiciels espions sur les utilisateurs d’iPhone, et un gang de ransomware notoire qui ressurgit en annonçant une nouvelle date d’attaque, le 3 février, le moment n’est pas propice à la complaisance cybersécuritaire. Surtout pas lorsque McAfee, un géant du secteur de la sécurité, a émis un nouvel avertissement confirmant que la plus grande menace pour les utilisateurs de Gmail provient des attaques de phishing alimentées par l’IA, qui sont terriblement convaincantes.

“Les arnaqueurs utilisent l’intelligence artificielle pour créer des vidéos ou des enregistrements audio incroyablement réalistes qui prétendent être des contenus authentiques de personnes réelles,” a averti McAfee, “La technologie des deepfakes devient de plus en plus accessible et abordable, permettant même à ceux sans expérience préalable de produire un contenu convaincant.” Imaginez donc ce que des attaquants, arnaqueurs et cybercriminels expérimentés pourraient créer avec des attaques alimentées par l’IA. Ces attaques pourraient même tromper un professionnel de la cybersécurité aguerri, le poussant à divulguer des identifiants, entraînant ainsi potentiellement le piratage de son compte Gmail, avec toutes les conséquences qui en découlent.

ForbesNouvelle alerte de sécurité Gmail pour 2,5 milliards d’utilisateurs—deuxième vague d’attaque imminentePar Davey Winder

Les attaques convaincantes alimentées par l’IA ciblant les utilisateurs de Gmail

En octobre, un consultant en solutions de sécurité chez Microsoft, Sam Mitrovic, est devenu viral après que j’ai rapporté comment il a failli devenir la victime d’une attaque alimentée par l’IA. D’une crédibilité telle et typique de la dernière vague de cyberattaques visant les utilisateurs de Gmail qu’il convient de le rappeler brièvement. Tout a commencé une semaine avant qu’il n’y ait un véritable incident, laissez-moi vous expliquer :

Mitrovic a reçu une notification concernant une tentative de récupération de compte Gmail, apparemment provenant de Google. Ignorant cela, il a aussi négligé l’appel téléphonique qui a suivi une semaine plus tard, toujours censé provenir de Google. Puis, tout est arrivé à nouveau. Cette fois, Mitrovic a répondu : une voix américaine, prétendant venir du support Google, lui a confirmé qu’il y avait une activité suspecte sur son compte Gmail. Pour faire court, je vous encourage à lire l’article original, cela en vaut vraiment la peine. Le numéro de l’appel semblait correspondre à Google après une recherche rapide, et l’appelant était prêt à envoyer un email de confirmation. Cependant, étant consultant en sécurité, Mitrovic a remarqué quelque chose qu’un utilisateur moins aguerri aurait pu manquer : le champ “À” contenait une adresse habilement obfusquée qui n’était pas véritablement celle de Google. Comme je l’ai écrit à l’époque : “Il est presque certain que l’attaquant aurait continué pour initier le prétendu processus de récupération,” ce qui aurait permis de capturer des identifiants de connexion et potentiellement un cookie de session pour contourner l’authentification à deux facteurs.

Une étude de Sharp UK a également conclu que “l’IA est utilisée comme arme dans des cyberattaques,” identifiant six méthodologies spécifiques qui représentent une grande partie de cette armementation. “Bien que l’IA offre d’importants avantages dans divers domaines,” a déclaré le rapport, “son utilisation abusive dans les cyberattaques représente une menace significative et croissante.” Ces menaces sont les suivantes :

1. L’utilisation de l’IA dans le craquage de mots de passe—L’IA remplace les stratégies traditionnelles de craquage par force brute pour des raisons évidentes. Les machines apprennent mieux les motifs utilisés dans la création de mots de passe. Le rapport indique : “Les algorithmes IA peuvent analyser des millions de mots de passe et détecter des tendances communes, permettant aux hackers de générer des suppositions de mots de passe très probables.” C’est beaucoup plus efficace que les méthodes classiques, permettant aux hackers de compléter cette étape d’une attaque plus rapidement et avec moins de ressources. “Les outils de craquage de mots de passe alimentés par l’IA peuvent également contourner l’authentification à deux facteurs,” affirme le rapport, “en apprenant des tentatives infructueuses et en améliorant leurs chances de succès avec le temps.”
2. Automatisation des cyberattaques—Tout ce qui peut être automatisé le sera par des hackers déterminés en quête d’accès à votre réseau et à vos données, de l’analyse de vulnérabilités à l’exécution d’attaques à grande échelle. En déployant des bots alimentés par l’IA pour scanner simultanément des milliers de sites ou réseaux, le rapport de Sharp UK note que des faiblesses peuvent être trouvées et exploitées. Ce processus d’exploitation peut également être automatisé grâce à l’IA. “Les ransomwares alimentés par l’IA peuvent chiffrer des fichiers de manière autonome, déterminer le meilleur moyen d’exiger une rançon et même ajuster le montant de la rançon en fonction de la richesse perçue de la cible,” indiquent les chercheurs.
3. Deepfakes—comme déjà mentionné, ils sont exploités dans des attaques ciblant les utilisateurs de Gmail. “Dans un cas très médiatisé,” relate le rapport, “un deepfake audio d’un PDG a été utilisé pour tromper un employé afin qu’il transfère 243 000 $ sur le compte d’un fraudeur. Alors que la technologie des deepfakes continue d’évoluer, il devient de plus en plus difficile de distinguer le réel du faux, ce qui en fait un outil redoutable pour les cyberattaquants.”
4. Exploration de données—L’IA permet à un attaquant non seulement de collecter, mais aussi d’analyser des données à grande échelle et à des vitesses auparavant considérées comme impossibles. Il n’est donc pas surprenant que cette ressource soit exploitée intensément. “En utilisant des algorithmes d’apprentissage automatique, les cybercriminels peuvent passer au crible des bases de données publiques et privées pour découvrir des informations sensibles sur leurs cibles,” avertit le rapport.
5. Attaques par phishing—La méthodologie la plus applicable à la menace d’attaque sur Gmail : l’utilisation de l’IA pour construire et délivrer des attaques d’ingénierie sociale authentiques et crédibles. “Les outils d’IA peuvent analyser des profils sur les réseaux sociaux, des interactions passées et des historiques d’emails,” met en garde le rapport, “afin de créer des messages qui semblent légitimes.”
6. L’évolution des logiciels malveillants à grande échelle—Les malwares alimentés par l’IA représentent une catégorie à part entière, souvent capables d’adapter leur comportement pour tenter de contourner la détection. “Les malwares améliorés par l’IA peuvent analyser le trafic réseau pour identifier des motifs dans les défenses cybersécuritaires,” précise le rapport, “et modifier leur stratégie pour éviter d’être repérés.” Il y a aussi la question du polymorphisme, nécessaire pour compliquer la tâche des chercheurs en sécurité d’identifier ces menaces, tout comme l’utilisation de modèles de langage à grande échelle pour créer rapidement et à grande échelle de telles variations de malwares.

ForbesPurge des données utilisateur de Google en cours—ce que vous devez savoirPar Davey Winder

“Les résultats de la récente étude de Sharp mettent en évidence la nécessité pour les organisations d’adopter une approche différente en matière de formation à la sensibilisation à la cybersécurité,” a déclaré Lucy Finlay, directrice du comportement sécurisé et de l’analyse chez ThinkCyber Security. “Ce changement est crucial pour protéger les personnes des menaces émergentes, telles que le phishing par deepfakes, qui sont conçues pour manipuler efficacement les employés.” Finlay a averti que l’idée selon laquelle un travailleur sur trois affirmerait se sentir “confiant de repérer les menaces cybernétiques,” sans citer de source pour cette statistique, est douteuse. Je ne remets pas en question ces chiffres, à vrai dire, mon expérience suggère même qu’ils pourraient être plus élevés, car les gens ont tendance à surestimer leurs propres capacités. “En réalité,” conclut Finlay, “il est probable qu’ils éprouveraient des difficultés à reconnaître une arnaque sophistiquée par deepfake si elle se présentait à eux.”

Les chercheurs de l’Unit 42 développent un nouvel algorithme d’apprentissage machine d’adversarial qui pourrait aider Gmail et d’autres utilisateurs à se défendre contre les malwares alimentés par l’IA

Des recherches récemment publiées par le groupe Unit 42 de Palo Alto Networks ont détaillé comment, en développant un algorithme d’apprentissage machine adversarial pour utiliser des modèles de langage à grande échelle afin de générer du code JavaScript malveillant, la détection de ces menaces alimentées par l’IA sur le terrain peut être réduite de jusqu’à 10 %. L’un des problèmes majeurs auxquels font face les utilisateurs et ceux qui travaillent à les défendre contre les menaces cybernétiques est que bien que “les LLM aient du mal à créer des malwares à partir de zéro,” les chercheurs de l’Unit 42 ont déclaré : “les criminels peuvent facilement les utiliser pour réécrire ou obfusquer des malwares existants, rendant leur détection plus difficile.” Il est relativement facile pour les défenseurs de repérer les outils d’obfuscation existants, car leurs empreintes sont bien connues. Les LLM ont changé les règles du jeu de l’obfuscation, balançant la faveur vers les attaquants, car grâce aux incitations de l’IA, ils peuvent “effectuer des transformations beaucoup plus naturelles,” a déclaré le rapport, “ce qui rend la détection de ces malwares beaucoup plus difficile.” L’objectif ultime est, par l’utilisation de plusieurs couches de transformations, de tromper les classificateurs de malwares pour leur faire croire que le code malveillant est en réalité totalement bénin.

ForbesGoogle et Microsoft avertis alors que de nouvelles attaques de contournement de l’authentification à deux facteurs sont signaléesPar Davey Winder

Unit 42 a réussi à créer un algorithme utilisant les LLM pour réécrire du code JavaScript malveillant, en appliquant continuellement plusieurs étapes de réécriture pour tromper les modèles d’analyse statique. “À chaque étape,” ont indiqué les chercheurs, “nous avons également utilisé un outil d’analyse comportementale pour garantir que le comportement du programme restait inchangé.” Pourquoi est-ce important ? Étant donné la disponibilité d’outils d’IA générative pour les attaquants, comme nous l’avons vu dans plusieurs attaques contre les utilisateurs de Gmail, l’éventail des variantes de code malveillant et la difficulté de les détecter continueront de croître. Le travail de l’Unit 42 montre comment les défenseurs “peuvent utiliser les mêmes tactiques pour réécrire du code malveillant afin d’aider à générer des données d’entraînement qui peuvent améliorer la robustesse des modèles d’apprentissage automatique.” En effet, l’Unit 42 a déclaré qu’en utilisant la technique de réécriture mentionnée, il a pu développer un nouveau détecteur de JavaScript malveillant basé sur l’apprentissage profond, qui fonctionne actuellement dans un filtre d’URL avancé, détectant des dizaines de milliers d’attaques basées sur JavaScript chaque semaine.

Ce que Gmail et McAfee recommandent pour atténuer les attaques d’IA en cours

Concernant les conseils d’atténuation, certains peuvent être plus pertinents que d’autres. Prenons le récent conseil du Federal Bureau of Investigation, par exemple, qui suggérait de vérifier les emails de phishing en cherchant des fautes d’orthographe et des incohérences grammaticales. Cela, comme je l’ai souligné, est un conseil très dépassé et, en tant que tel, peu utile dans le paysage actuel de menaces alimentées par l’IA.

ForbesLe FBI a tort—ce conseil sur les attaques de Gmail ne vous aidera absolument pasPar Davey Winder

Le conseil de McAfee est de “vous protéger en vérifiant doublement toute demande inattendue par un moyen alternatif fiable et en vous fiant à des outils de sécurité conçus pour détecter la manipulation des deepfakes,” et est beaucoup plus judicieux.

Cependant, le meilleur conseil provient de Google lui-même en ce qui concerne l’atténuation des attaques contre les utilisateurs de Gmail, et peut être résumé ainsi :

• Si vous recevez un avertissement, évitez de cliquer sur des liens, de télécharger des pièces jointes ou d’entrer des informations personnelles. “Google utilise des technologies de sécurité avancées pour vous alerter sur des messages dangereux, du contenu non sécurisé ou des sites web trompeurs,” a déclaré Google, “même si vous ne recevez pas d’avertissement, ne cliquez pas sur des liens, ne téléchargez pas de fichiers et n’entrez pas d’informations personnelles dans des emails, messages, pages web ou fenêtres pop-up de fournisseurs non fiables ou inconnus.”
• Ne répondez jamais à des demandes de vos informations privées par email, message texte ou téléphone et protégez toujours vos informations personnelles et financières.
• Si vous pensez qu’un email de sécurité prétendument provenant de Google pourrait être faux, allez directement sur myaccount.google.com/notifications. “Sur cette page,” a indiqué Google, “vous pouvez vérifier l’activité récente de sécurité de votre compte Google.”
• Soyez prudent avec des messages urgents semblant provenir de personnes de confiance, comme un ami, un membre de la famille ou un collègue.
• Si vous cliquez sur un lien et qu’on vous demande d’entrer le mot de passe de votre compte Gmail ou d’un autre service : Ne le faites pas. “Dirigez-vous plutôt vers le site que vous souhaitez utiliser,” a ajouté Google, y compris votre connexion à votre compte Google/Gmail.

ForbesAttaque de piratage Gmail—Google indique que vous avez 7 jours pour agirPar Davey Winder