Selon une enquête récente, 62 % des responsables de la cybersécurité déclarent que leurs employés ont été victimes d'attaques utilisant l'intelligence artificielle (IA) au cours de l'année précédente. Ces attaques comprennent les attaques de "prompt injection" et la création de contenus audio ou vidéo falsifiés. L'enquête montre que les attaques par voix synthétisée sont le type d'attaque le plus courant, avec 44 % des entreprises signalant au moins un incident de ce type, dont 6 % ont entraîné une interruption d'activité, une perte financière ou une perte de propriété intellectuelle.
Note de source de l'image : l'image a été générée par l'IA, le service de licence est Midjourney
Lorsqu'une entreprise utilise un service de vérification audio, cette proportion tombe à 2 %. Les cas de fausse vidéo sont légèrement moins fréquents, avec 36 % des entreprises touchées, mais 5 % des incidents ont également entraîné des problèmes graves.
Chester Wisniewski, directeur mondial de la sécurité informatique chez la société de sécurité Sophos, souligne que les technologies de fausse voix ont atteint un niveau très avancé et sont désormais peu coûteuses. Il déclare : « La génération de voix falsifiée en temps réel est maintenant possible. Si c'est la voix de votre conjoint, ils pourraient s'en rendre compte, mais si c'est celle d'un collègue avec lequel vous communiquez occasionnellement, il est presque impossible de la repérer en temps réel, ce qui représente un grand défi. »
Il pense que les chiffres concernant les attaques par voix synthétisée peuvent être sous-estimés, mais que la proportion des attaques par vidéo est plus élevée qu'il ne l'attendait. Il souligne que la génération en temps réel d'une vidéo spécifique à une personne est extrêmement coûteuse, pouvant nécessiter plusieurs millions de dollars. Cependant, Sophos a déjà observé certains fraudeurs présenter brièvement une vidéo de fausse voix du PDG ou du directeur financier lors d'appels WhatsApp, puis prétendre que le réseau est tombé en panne, supprimer la vidéo et passer à une communication par texte pour mener des attaques de social engineering.
En outre, les cas d'utilisation de vidéos falsifiées ordinaires pour cacher l'identité d'une personne sont plus courants. Par exemple, la Corée du Nord fournit des services à des entreprises occidentales à l'aide de techniques d'IA de falsification, gagnant plusieurs millions de dollars, et ces techniques de falsification sont assez trompeuses même pour les professionnels.
En outre, une autre forme d'attaque générée par l'IA en augmentation est l'attaque par injection de prompt, où les attaquants intègrent des instructions malveillantes dans le contenu traité par un système d'IA, afin de le faire divulguer des informations sensibles ou d'en abuser. Cela peut entraîner l'exécution de code, notamment lorsqu'elle est intégrée. Selon une enquête de Gartner, 32 % des répondants affirment que leurs applications ont subi une attaque par injection de prompt.
Points clés :
📞 62 % des entreprises ont subi des attaques par IA, dont 44 % ont signalé des incidents d'appels téléphoniques avec voix synthétisée.
💻 La technologie de falsification audio en temps réel est mature, posant un nouveau défi à la sécurité des employés.
🔍 Les attaques par injection de prompt sont fréquentes, 32 % des applications d'entreprises en sont affectées.
