a tall building with a godzilla statue on top of it

Méfiez-vous du « fils du mythe », préviennent les experts en sécurité

Lucas Morel

À mesure que l’accès aux outils de découverte de vulnérabilités d’Anthropic et d’OpenAI s’étend, les intervenants d’Infosecurity Europe mettent en garde contre la prochaine vague de modèles d’IA d’avant-garde à court terme.

LONDRES — Les experts en sécurité d’Infosecurity Europe ont exhorté les équipes de sécurité d’entreprise à se préparer à l’impact alors qu’Anthropic et OpenAI étendent l’accès à leurs modèles d’IA de pointe pour la découverte des vulnérabilités.

Anthropic, en particulier, étend considérablement le projet Glasswing, son programme visant à fournir à certaines organisations un accès à Claude Mythos, un outil de découverte de vulnérabilités basé sur l’IA qui, selon de nombreux observateurs et praticiens de l’industrie, signale un changement structurel pour la cybersécurité.

Après avoir initialement accordé l’accès à une cinquantaine d’organisations en avril, Anthropic ajoute désormais environ 150 partenaires supplémentaires à son programme.

Dans le cadre d’un développement parallèle, OpenAI aurait offert à neuf grandes banques britanniques l’accès à son outil d’IA de cybersécurité, GPT-5.5 Cyber.

Préparez-vous pour le fils de Mythe

S’exprimant à Infosecurity Europe, Gunter Ollmann, directeur technique de la société de tests d’intrusion et de services de sécurité Cobalt, a déclaré que les modèles d’IA de pointe de Google et deux de Chine ne sont pas loin derrière dans leurs capacités.

« Les équipes de sécurité doivent se préparer pour le fils de Mythos », a déclaré Ollmann. « L’accès à ces outils d’IA de pointe reste limité, mais ils ne feront que devenir moins chers à mesure que nous avançons. »

Paul Chichester, directeur des opérations au National Cyber ​​Security Centre (NCSC) du Royaume-Uni, a étayé cette évaluation en citant des estimations selon lesquelles la Chine aurait huit mois de retard. L’utilisation abusive des modèles d’IA frontaliers représente une menace tout en offrant aux défenseurs la possibilité d’imposer des coûts supplémentaires aux adversaires, a déclaré Chichester aux délégués d’Infosec Europe.

« Les organisations peuvent utiliser l’IA pour écrire un meilleur code et rechercher les vulnérabilités », a déclaré Chichester, qui a ajouté que les outils d’IA de pointe ont le potentiel de démocratiser les évaluations de sécurité et les tests d’intrusion.

Les organisations devraient améliorer la cybersécurité en renforçant les contrôles d’accès et en organisant des exercices de réponse aux incidents, a conseillé Chichester.

Daniel Wilcock, analyste en matière de renseignements sur les menaces chez Talion, une société de services de sécurité gérés, a averti que les organisations qui ne parviennent pas à explorer l’IA avancée risquent de se retrouver à la traîne par rapport à celles qui utilisent cette technologie pour accélérer la découverte des vulnérabilités et les opérations de sécurité.

« Les plateformes d’IA avancées sont déjà utilisées par des acteurs malveillants, et toutes les organisations doivent s’y préparer », a prévenu Wilcock.

Chaînes d’exploitation

« La combinaison de l’analyse basée sur l’IA et de l’expertise humaine s’avère bien plus efficace que d’opérer seule », a déclaré Ollmann. « Les organisations qui bénéficieront le plus de ces avancées seront celles qui seront en mesure de valider, hiérarchiser et résoudre rapidement les problèmes découverts avant que les attaquants ne les découvrent en premier. »

Ollmann a ajouté : « Mythos semble fonctionner avec un niveau d’accès logiciel et de flexibilité d’analyse que la plupart des chercheurs en sécurité commerciale et des plateformes de test n’ont généralement pas, y compris la capacité d’examiner le code et les comportements qui pourraient autrement être restreints par une licence ou des conditions de service. Cela crée une opportunité unique d’identifier des classes de vulnérabilités que les approches de test conventionnelles manquent souvent. « 

Par exemple, Mythos facilite l’enchaînement de plusieurs vulnérabilités de gravité moyenne pour créer un risque à fort impact.

« Lorsque nous effectuons une modélisation des menaces, nous avons le sentiment que ce sont les vulnérabilités connues sur lesquelles nous modélisons et c’est ici que nous pensons que nous sommes faibles, et cela disparaît en enchaînant plusieurs vulnérabilités », a déclaré Jim Reavis, PDG et co-fondateur de Cloud Security Alliance (CSA) aux participants. « La notation CVSS, il semble que ce ne soit plus très pertinent. »

Jon Yeoh, directeur scientifique de l’ASC, est du même avis, abordant également la menace du « fils du mythe ».

« Il ne s’agit pas seulement d’Anthropic. Il s’agit également de ce que feront ces IA de nouvelle génération », a-t-il déclaré. « Il s’agit d’un changement majeur dans ce que l’IA peut faire. »

Intelligence artificielleGestion des menaces et des vulnérabilitésLogiciel de sécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

a tall building with a godzilla statue on top of it
Méfiez-vous du « fils du mythe », préviennent les experts en sécurité
A picture of the MGM Grand in Las Vegas
Un membre du conseil d’administration de MGM Resorts lance un projet d’achat d’entreprise
GitHub mobile icon app on a screen smartphone and notebook closeup. GitHub is the largest web service for hosting and developing IT projects. Batumi, Georgia - November 4, 2023
Un trou dans l’éditeur VSCode basé sur le navigateur de GitHub pourrait conduire au vol d’un jeton