((Traduction automatisée par Reuters à l'aide de l'apprentissage automatique et de l'IA générative, veuillez vous référer à l'avertissement suivant: https://bit.ly/rtrsauto)) par Deborah Mary Sophia et Jaspreet Singh
Une attaque contre Instagram, au cours de laquelle des pirates ont convaincu le chatbot d'assistance IA
META.O de Meta de leur donner accès à des comptes très en vue, a mis au jour une faille critique au cœur de la stratégie de l'entreprise visant à automatiser des fonctions sensibles liées aux utilisateurs.
Cette faille a permis aux pirates de s'emparer de comptes, notamment celui de la page inactive de la Maison Blanche sous Obama, celui du distributeur de produits de beauté Sephora et celui d'un haut responsable de la Force spatiale américaine.
Le chatbot a été persuadé de réinitialiser les identifiants de compte sans vérifier l'identité de manière indépendante, transformant ainsi un outil de sécurité hautement fiable en une faille majeure, ont déclaré des experts en cybersécurité à Reuters.
Cet incident a mis en évidence une vulnérabilité plus générale, alors que les entreprises technologiques confient aux systèmes d'IA des pouvoirs étendus sur des tâches telles que la récupération de compte, alors même que ces systèmes restent susceptibles d'être manipulés par le biais de ce que les experts appellent une catégorie d'attaques connue sous le nom de « prompt injection ».
Pour Meta, ce faux pas survient à un moment délicat. Le géant des réseaux sociaux a misé gros sur l’IA, supprimant des milliers d’emplois tout en s’engageant à investir jusqu’à 145 milliards de dollars dans les infrastructures d’IA. Cet incident pourrait raviver les inquiétudes selon lesquelles l’entreprise accélère l’automatisation de fonctions critiques avant que la technologie ne soit prête à les gérer en toute sécurité.
Meta a déclaré lundi que le problème était résolu et qu’elle sécurisait les comptes concernés, mais l’incident a secoué les investisseurs déjà inquiets face aux dépenses colossales de l’entreprise en matière d’IA, faisant chuter son action de plus de 5 %.
L'entreprise a refusé de donner plus de détails. Reuters n'a pas pu identifier ni joindre immédiatement les pirates.
Jane Wong, chercheuse en sécurité et ancienne employée de Meta dont les identifiants Instagram ont été compromis, a déclaré à Reuters qu'il lui avait fallu environ 5 à 10 minutes pour récupérer son compte. Elle a indiqué dans un message sur X que son mot de passe avait été modifié à son insu et qu'elle avait reçu plusieurs demandes de réinitialisation.
« Il s’agit d’une défaillance fondamentale de l’architecture. Le modèle s’est vu attribuer des actions privilégiées sans contrôles d’accès privilégiés », a déclaré Brian Westnedge, vice-président chargé des alliances et des partenariats chez Red Sift, une entreprise de cybersécurité.
« Meta a fait l’objet de critiques persistantes concernant son manque de support humain, a procédé à d’importantes réductions d’effectifs et dépense des milliards dans l’IA. Cet incident s’inscrit parfaitement au cœur de ces trois enjeux. »
Le piratage attise les inquiétudes concernant l'utilisation de l'IA en matière de sécurité
Des pirates informatiques non identifiés ont mené cette attaque au cours du week-end, empêchant les utilisateurs d'accéder à leurs comptes et déclenchant une vague de plaintes sur des plateformes telles que X et Reddit.
Signalé pour la première fois lundi par le site d'information en ligne 404 Media, ce piratage marque le dernier revers en date pour Meta dans le déploiement de l'IA sur l'ensemble de ses produits.
La société a lancé en mars un chatbot d’assistance pour remédier à un problème de longue date: l’absence d’assistance humaine pour les utilisateurs qui perdent l’accès à leur compte ou font l’objet de sanctions injustifiées.
Une enquête de Reuters menée en août a révélé que Meta n'avait mis en place aucune mesure de protection empêchant ses chatbots IA d'avoir des conversations « sensuelles » avec des enfants, de fournir des informations médicales erronées ou de prétendre être de vraies personnes.
Depuis lors, l'entreprise a annoncé qu'elle offrirait davantage de contrôle aux parents d'adolescents afin d'empêcher les jeunes utilisateurs d'accéder à des contenus inappropriés sur ses plateformes.
Les analystes et les experts ont déclaré que le problème ne se limitait pas à Meta, avertissant que d'autres exploits de ce type étaient probables à mesure que les pirates informatiques se serviraient de l'IA comme d'une arme.
« Le problème ne réside pas nécessairement dans l’IA elle-même, mais dans l’existence de mesures de protection adéquates concernant ce que l’IA est autorisée à faire », a déclaré Cliff Steinhauer, directeur de la sécurité de l’information et de l’engagement à la National Cybersecurity Alliance.
Depuis que le lancement de ChatGPT fin 2022 a déclenché une ruée vers le déploiement de chatbots IA, les pirates ont exploité des attaques par prompt. Dans un cas précis, l’attaquant a piégé le bot d’un concessionnaire Chevrolet pour qu’il vende un SUV Tahoe à 1 dollar.
« Ce n’est pas un problème spécifique à Meta. Les gens utilisent ces agents IA pour faire beaucoup de choses. Ce que nous observons en réalité, ce sont des problèmes inattendus qui surgissent avec l’utilisation de l’IA », a déclaré Engin Kirda, professeur au département d’ingénierie électrique et informatique de la Northeastern University.
« Autrefois, les gens étaient la cible d’escroqueries. Aujourd’hui, ce sont les agents qui sont la cible d’escroqueries », a-t-il ajouté, faisant référence aux agents IA ou aux assistants numériques autonomes capables d’effectuer des tâches complexes.
0 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer