SMART CYBER - Point cyber : la menace « hashjack » - Vidéo Dailymotion

B SMART

Et si votre navigateur devenait complice d’une attaque sans que vous ne cliquiez sur un site frauduleux ? Avec "HashJack", les chercheurs de Cato Networks révèlent comment les assistants IA intégrés aux navigateurs peuvent être détournés pour voler des données, usurper des identités… et même détourner de l’argent.

Transcript

00:00Le point cyber aujourd'hui s'arrête sur H-Jack, c'est le nom d'une menace récente mise en avant dans un rapport.

00:12On va voir comment ces navigateurs dopés à l'IA qui intègrent des assistants d'intelligence artificielle

00:17peuvent transformer un site web en outil d'attaque.

00:20On en parle avec Joël Mollot. Bonjour.

00:22Bonjour.

00:23Merci beaucoup d'être avec nous.

00:24Vous êtes le vice-président SOSMEA de Kato Networks, qui est une entreprise dans la cybersécurité.

00:30L'équipe de Threat Intelligence de Kato Networks a publié une recherche sur les menaces liées à l'intelligence artificielle.

00:37Dites-nous ce qu'elle révèle.

00:39Au-delà de cette étude, on a également fait un sondage auprès de 600 CISO, CIO, parmi nos clients à travers le monde,

00:49pour savoir quel était l'impact de l'IA au niveau de l'entreprise.

00:52Ce qui est intéressant de savoir, c'est que pour 69% des personnes qu'on a interrogées,

00:56aujourd'hui, ils n'ont aucun outil de surveillance de la partie IA.

01:01C'est déjà un premier gros enjeu.

01:03Ils ne savent pas ce qui se passe.

01:05Et malgré tout, 71% disent aussi que l'IA qui est utilisée chez eux,

01:10elle n'est pas faite à des fins, on va dire, négatives ou autres.

01:13Elle est faite à des fins d'optimisation de la performance et de l'efficacité des gens.

01:16Donc, les gens utilisent de l'IA, tout type d'IA,

01:18sans vraiment savoir ce qu'ils en font et comment ça se passe.

01:20Effectivement, l'exemple que vous avez cité de H-JAC,

01:25c'est typiquement la façon dont aujourd'hui les nouveaux générations de cyberattaquants,

01:31parce qu'en fait, la problématique aussi d'aujourd'hui,

01:32c'est qu'on peut faire de la cyberattaque sans être un spécialiste de la cyber.

01:36C'est-à-dire en achetant des packs tout prêts ?

01:38On achète des packs tout prêts, on demande à une IA de générer

01:40pour ce que l'on veut faire comme type d'attaque,

01:43et c'est simple et c'est facile à utiliser.

01:45Et le H-JAC va encore plus loin,

01:46c'est comment on fait en sorte de détourner quelque chose qui est légitime,

01:49un site tout à fait légitime,

01:51en rajoutant, c'est pour ça qu'il s'appelle H-JAC,

01:53derrière un petit H dans l'URL, donc normal,

01:56des instructions que seul l'IA est capable de comprendre et d'interpréter.

01:59Donc en fait, on fait un détournement de l'usage normal du site web

02:03à travers effectivement des instructions qui sont données à l'IA,

02:07parce qu'en fait, l'IA, dans ces modèles-là,

02:09c'est ce qu'on appelle des browsers qui sont équipés d'IA.

02:13On a effectivement Copilot, par exemple.

02:15Parce que, pour qu'on comprenne bien de quoi vous nous parlez,

02:17vous nous parlez de quelque chose qui se passe uniquement

02:20à travers des navigateurs qui utilisent l'intelligence artificielle.

02:23Exactement.

02:24On est sur du futur, parce que pour l'instant,

02:27je pense qu'on est encore très peu à l'utiliser.

02:30Il y a de plus en plus de gens qui utilisent ce genre de choses.

02:33D'ailleurs, moi, c'est assez rigolo,

02:34parce que j'ai reçu il y a deux ou trois jours

02:35un message de Google me disant

02:37« Bienvenue à Gemini pour Google sur votre smartphone ».

02:41Donc, de facto, ça m'a été proposé.

02:44Ça veut dire que demain,

02:45à partir du moment où je vais faire des requêtes

02:47sur mon environnement Google,

02:49j'ai Gemini qui sera là, qui pourra me guider,

02:51qui pourra m'apporter une aide intuitive directement

02:54et prendre des actions à ma place.

02:55C'est un petit peu l'idée de ces IA agents,

02:58c'est de vous permettre de prendre des décisions automatiques.

03:00Donc, à partir du moment où on va…

03:01Des actions.

03:02Des actions, exactement.

03:04Des actions, tout à fait.

03:05Vous avez remarqué.

03:05Bonne remarque.

03:06Donc, à partir du moment où on fait

03:07ce petit détournement simple,

03:09par exemple, vous allez sur votre compte bancaire.

03:11Donc, quel détournement ?

03:12On imagine quoi ?

03:13Que Gemini, d'un seul coup,

03:15serait perverti par un virus, c'est ça ?

03:18Expliquez-nous.

03:18En fait, c'est un petit peu le principe.

03:19C'est que vous allez recevoir, par exemple,

03:21un email de votre banquier

03:22qui vous propose un nouveau service.

03:24Vous allez cliquer sur l'URL normale.

03:27Sauf que dans cette URL,

03:28il peut y avoir une inclusion supplémentaire,

03:29ce qui fait qu'au partir du moment où vous allez commencer…

03:30Ça, c'est du phishing.

03:31Ça, c'est pas tout à fait du phishing, justement.

03:33Puisqu'en fait, on a déjà quelque chose

03:35qui est dans l'URL.

03:36C'est déjà intégré.

03:37Et ça va s'adresser à l'agent,

03:40d'accord, derrière,

03:41qui, lui, va prendre une action pour vous.

03:43D'accord.

03:43Typiquement, vous allez sur votre site,

03:45qui est tout à fait normal,

03:46donc il est très légitime.

03:47Mais au moment où ça va se dérouler,

03:49cette URL, donc comment ça va être ?

03:50Elle va être interprétée,

03:51donc l'action va être prise par l'agent.

03:54Ça va vous rerouter, éventuellement,

03:55sur une autre page,

03:56qui sera normalement la page

03:57tout à fait conforme normale.

03:59Mais typiquement, ça va vous dire

04:00que vous devez contacter votre conseiller

04:02parce qu'il y a une action en cours sur votre compte.

04:03et le numéro de téléphone

04:05de ce fameux conseiller

04:06sera un faux numéro totalement différent.

04:09Ou alors, il va vous rerouter

04:10sur un nouveau service.

04:10Il ne se repère pas ce petit élément

04:13après le hashtag ?

04:15Il faut aller le regarder,

04:16effectivement, jusqu'au loin.

04:17Oui, sur un smartphone.

04:17Je pense que personne sur un smartphone

04:18ne va regarder au bout de son URL

04:19pour voir s'il y a un petit hashtag

04:20avec quelque chose qui est indiqué derrière.

04:22Donc, effectivement,

04:23on est sur cette notion

04:24de faire appel à cet agent.

04:28Et en fait, le piège,

04:29c'est que justement,

04:30ce n'est plus ni l'utilisateur

04:31ni le site qui est entre guillemets trompé.

04:34C'est l'agent

04:35qui, lui, sert effectivement

04:36de relais pour la tromperie

04:38donc menée derrière.

04:40Dans ce que vous voyez

04:42ou ce que vous avez testé,

04:43vous avez testé, c'est ça,

04:44des scénarios d'attaque

04:45qui utilisent cette fonctionnalité ?

04:47Le procédé est à chaque fois le même ?

04:49C'est très souvent le même pour le moment.

04:50C'est effectivement cet ajout

04:52d'informations derrière le hashtag.

04:54Mais avec la vitesse à laquelle

04:56on voit les choses se développer

04:57au niveau de l'IA,

04:57je suis convaincu que demain,

04:58on va avoir d'autres types d'attaques

04:59qui vont effectivement se généraliser

05:01et qui prendront le même approche,

05:03le même procédé

05:04d'aller détourner un comportement normal

05:06d'une IA.

05:07Ça passe forcément par la pratique,

05:09j'allais dire, malheureusement habituelle

05:11de je reçois un mail,

05:13je clique sur un mauvais lien ?

05:14Ça passe essentiellement par ça,

05:15pour le moment.

05:17Ça veut dire que ça reste efficace quand même.

05:18Ça reste très efficace.

05:20Mais le problème,

05:21c'est que ça devient de plus en plus

05:22sophistiqué dans la façon dont c'est fait

05:24puisque tout paraît tout à fait normal,

05:26tout paraît conforme.

05:27Votre URL est bon,

05:28tout est bon.

05:29Sauf que maintenant,

05:29c'est un tout petit bout de code

05:30qui est rajouté de façon pernicieuse

05:32à la fin de cette URL.

05:33Ou finalement,

05:34les actions sont générées

05:35non plus par l'utilisateur,

05:36mais directement par l'agent IA.

05:37Et c'est ça en fait le problème,

05:38c'est que l'agent IA

05:39devient un vecteur supplémentaire

05:41de surface d'attaque

05:42qui fait qu'on augmente

05:43cette surface d'attaque

05:44parce qu'on ne va plus s'adresser

05:45à l'utilisateur

05:45qui risque lui de comprendre,

05:47mais on va s'adresser

05:47à cette IA intégrée

05:48qui va prendre les actions à votre place.

05:50Juste très rapidement,

05:51pour terminer,

05:51un conseil ?

05:52Un conseil,

05:53c'est de s'équiper

05:54et de commencer à s'équiper

05:56fortement avec des solutions

05:57qui intègrent une vision globale,

05:58c'est-à-dire qu'on ne se contente pas

05:59de regarder uniquement

06:00ce que fait l'IA.

06:01On se contente d'avoir

06:02une vision globale

06:02de la surface d'attaque.

06:04C'est ce que fait un Kato Networks,

06:05par exemple,

06:06où on est à la fois du SACI,

06:07c'est-à-dire qu'on voit

06:07la partie réseau,

06:09on voit la partie sécurité

06:09et on intègre maintenant

06:11avec le rachat

06:12de AI Security,

06:14M Security,

06:15toute cette visibilité,

06:16toutes ces surfaces d'attaque

06:17sur la partie IA.

06:19L'important avec l'IA,

06:21c'est de commencer

06:21à comprendre ce qui se passe,

06:22c'est-à-dire identifier,

06:23voir,

06:24comme je dis souvent,

06:24il faut d'abord mettre la lumière

06:25avant de savoir

06:26ce qu'on fait derrière.

06:27Donc, il faut être capable

06:27d'identifier,

06:28de contrôler

06:29et ensuite de prendre

06:29les actions qui vont bien derrière.

06:31Merci beaucoup,

06:32Joël Mollot.

06:33Je rappelle,

06:33vous travaillez pour Gato Networks,

06:35vous nous avez éclairé

06:36sur cette nouvelle attaque,

06:38donc H-Jack.

06:39Merci encore

06:40à tous.

06:41Donc, grande vigilance

06:42comme d'habitude.

06:42Allez, c'est l'heure

06:43de notre tour

06:43qu'on va s'intéresser

06:44aux menaces post-quantiques.

06:45Merci.

SMART CYBER - Point cyber : la menace « hashjack »

Catégorie

Transcription

Écris le tout premier commentaire

Recommandations