Exfiltration de données d'IA : la prochaine frontière de la cybercriminalité

L’exfiltration de données est aujourd’hui l’une des menaces de cybersécurité les plus urgentes auxquelles les entreprises sont confrontées. Le dernier rapport trimestriel de BlackFog sur les ransomwares a révélé que 96 % des attaques de ransomware utilisent désormais cette tactique, ce qui indique la grande valeur des informations sensibles pour les acteurs malveillants, soit pour les vendre ou les utiliser directement, soit comme levier d'extorsion.

Cependant, à mesure que l’intelligence artificielle est intégrée aux systèmes d’entreprise, les attaquants et les défenseurs s’adaptent rapidement pour intégrer cette technologie dans leurs activités. L’IA est sur le point de remodeler fondamentalement la manière dont les attaques d’exfiltration sont exécutées. En conséquence, les entreprises doivent désormais repenser la manière dont elles gèrent les risques de sécurité pour mettre fin à ces attaques.

L'exfiltration de données d'IA consiste à utiliser l'intelligence artificielle pour localiser, extraire et déplacer des informations sensibles en dehors d'un environnement commercial sans autorisation. En automatisant des tâches telles que la découverte, la classification et le transfert des données, l'IA permet aux attaquants d'exfiltrer des informations plus rapidement et plus secrètement qu'avec les méthodes traditionnelles. Cela rend les menaces plus difficiles à détecter et à contenir.

Maintenant que la plupart des attaques de ransomware impliquent le vol de données, l’IA devient un outil naturel pour les cybercriminels qui cherchent à développer leurs tactiques de double extorsion. Cela leur permet d’extraire plus de données avec moins d’efforts, ce qui permet aux auteurs de menaces de faire pression plus efficacement sur les victimes pour qu’elles paient.

L’IA devient rapidement un outil essentiel pour les cybercriminels, car elle réduit les barrières à l’entrée, accélère les attaques et les aide à échapper aux contrôles de sécurité traditionnels. Les tâches qui nécessitaient auparavant une expertise technique, telles que l'identification de fichiers précieux, la création de scripts ou l'imitation de trafic légitime, peuvent désormais être automatisées par des modèles d'IA ou générées instantanément par des outils d'IA malveillants.

Cela signifie que davantage d’attaquants peuvent opérer à plus grande échelle pour lancer des campagnes d’exfiltration plus rapides et plus adaptables. Ce qui aggrave encore la menace, c'est que les défenses traditionnelles ont souvent du mal à détecter les comportements pilotés par l'IA, car ceux-ci ne suivent souvent pas les modèles connus sur lesquels s'appuient les outils existants. À mesure que les outils d’IA deviennent plus accessibles et plus puissants, le vol de données n’est plus limité aux auteurs de menaces avancées. Il est désormais à la portée de presque tous ceux qui disposent des bons outils.

Les attaques basées sur l’IA sont déjà courantes. Selon Trend Micro, 93 % des responsables de la sécurité s’attendent cette année à des attaques quotidiennes basées sur l’IA. Les acteurs malveillants peuvent adopter cette technologie de plusieurs manières pour renforcer les attaques d’exfiltration de données. Vous trouverez ci-dessous des méthodes éprouvées dans lesquelles l’IA joue un rôle clé dans l’engagement des entreprises :

• Chatbots IA malveillants : Des outils tels que WormGPT permettent aux criminels d'automatiser les campagnes de phishing et d'ingénierie sociale et de générer du code malveillant, réduisant ainsi les obstacles empêchant les attaquants d'accéder et de lancer des flux de travail d'exfiltration.
• Injection immédiate contre les LLM d’entreprise : Les attaquants peuvent exploiter les agents d'IA avec des entrées malveillantes pour les inciter à exfiltrer des fichiers internes, des informations d'identification ou des données propriétaires en manipulant le comportement de l'IA.
• Agents IA engagés et flux de travail d'automatisation : Les acteurs malveillants peuvent cibler des agents commerciaux légitimes d’IA pour exporter des données sensibles sous couvert de tâches autorisées.
• Scripts et automatisation d'extraction guidés par l'IA : L'IA génère rapidement du code ou des scripts pour compresser, chiffrer et transmettre les données exfiltrées à grande échelle, permettant ainsi des vols de données plus importants avec moins d'effort humain.

Ces tactiques illustrent un changement dans les schémas d'attaque. Ils signifient que le vol de données n’est plus un processus manuel lent, mais une opération rapide renforcée par l’IA. Les équipes de sécurité doivent reconnaître l’évolution du paysage et adopter des cadres de gouvernance de l’IA plus ciblés si elles veulent détecter et arrêter ces menaces à temps et répondre aux principaux problèmes de confidentialité.

Alors que les attaques actuelles basées sur l’IA posent déjà des défis importants, les chercheurs préviennent que des applications plus avancées se profilent à l’horizon. Beaucoup de ces techniques ont été démontrées dans des environnements contrôlés, mais n’ont pas encore été largement observées dans les campagnes criminelles.

Un domaine émergent est celui de la mise en forme du trafic guidée par l’IA, dans lequel les modèles d’apprentissage automatique ajustent les flux de données sortants pour imiter le comportement légitime du réseau. Les chercheurs ont également démontré comme preuve de concept des agents d'exfiltration autonomes qui utilisent l'apprentissage par renforcement pour identifier les données à voler et décider de la voie d'exfiltration la plus sûre en dehors d'un réseau sans instruction humaine.

D'autres résultats expérimentaux montrent la capacité de l'IA à reconstruire des informations sensibles à partir d'ensembles de données partiels ou obscurcis. De plus, des attaques d'inversion de modèle ont été démontrées contre des modèles d'apprentissage automatique, permettant aux attaquants d'extraire des données de formation en sondant la sortie du modèle.

Bien que cela ne soit pas encore courant dans le monde, ces développements mettent en évidence la rapidité avec laquelle l’exfiltration assistée par l’IA pourrait se développer et pourquoi les organisations devraient s’y préparer dès maintenant.

Alors que l’IA transforme les tactiques cybercriminelles, les entreprises doivent évoluer tout aussi rapidement pour garder une longueur d’avance. Cela signifie aller au-delà des modèles de défense basés sur le périmètre et adopter vos propres stratégies de sécurité et de gestion basées sur l'IA. Ceci est particulièrement vital lorsqu’il s’agit de détecter, surveiller et arrêter les flux de données non autorisés.

Des solutions anti-exfiltration de données spécialement conçues sont désormais essentielles pour protéger les données sensibles en temps réel. Cependant, d’autres mesures clés que les organisations devraient prendre comprennent :

• Mettez en œuvre des outils de surveillance basés sur l'IA qui analysent les données sortantes en temps réel.
• Restreindre et auditer les autorisations accordées aux systèmes d’IA internes et externes.
• Mettez en œuvre des analyses comportementales pour détecter les modèles d’exfiltration de données d’IA.
• Appliquez des politiques d’accès zéro confiance et de moindre privilège.
• Surveillez et contrôlez l’utilisation des agents LLM et AI avec des mesures de sécurité strictes.
• Segmentez les ensembles de données sensibles et limitez leur exposition aux workflows d’IA.
• Formez les employés à reconnaître les signes d’utilisation abusive de l’IA ou de fuites de données.

Alors que l’IA permet aux attaquants de voler plus facilement des données à grande échelle, le coût de l’inaction augmente rapidement. Pour maintenir à long terme la conformité et la réputation de l’IA, les entreprises doivent agir maintenant, sinon elles risquent d’être laissées pour compte dans un paysage de menaces basées sur l’IA.