Dans le cadre du dernier événement de la série de conférences Beutel Goodman, le Groupe attitré à la clientèle privée a accueilli Terence Persaud, chef de la technologie de l’intégrateur de systèmes mondial Jolera.

Au cours d’une conversation avec notre hôte Darren Bahadur, vice-président du Groupe attitré à la clientèle privée, Terence a abordé l’évolution des cybermenaces et les façons de se protéger contre les stratagèmes de piratage psychologique, tels que l’hameçonnage, la persuasion trompeuse, les rançongiciels et les hypertrucages.

Cet entretien a été enregistré le 26 novembre 2024. La présente transcription a été retouchée à des fins de clarté.

 

Remarque : Les renseignements contenus dans cette transcription et cet enregistrement ne constituent pas des conseils juridiques, financiers, comptables, fiscaux, liés aux placements ou autres, et ne doivent pas servir de fondements à de tels conseils. Il ne s’agit pas d’une invitation à acheter ou négocier des titres. Beutel, Goodman & Company Ltée ne cautionne ni ne recommande les titres dont il est question ici.

 

Darren Bahadur : Bienvenue à ce nouvel événement de la série de conférences Beutel Goodman. Je m’appelle Darren Bahadur et je suis vice-président du Groupe attitré à la clientèle privée de Beutel Goodman. Je suis accompagné de notre invité spécial, Terence Persaud, chef de la technologie à Jolera. Terence se tient au courant de tout ce qui touche à la cybernétique, et je crois que c’est la personne toute désignée pour aborder le sujet de la cybersécurité à l’ère de l’intelligence artificielle. Terrence, pourriez-vous vous présenter et nous parler un peu de Jolera?

Terence Persaud : Certainement. Bonjour Darren et merci de m’avoir invité. Jolera est un intégrateur de systèmes mondial. Nous existons depuis environ 25 ans et sommes présents un peu partout dans le monde : au Canada, aux États-Unis, en Asie, en Europe, en Amérique du Sud et en Afrique. Nous sommes un fournisseur de bout en bout. Nous nous occupons donc de tout ce qui touche à la technologie, du développement de produits à la gestion de services informatiques, en passant par le soutien technique. La cybersécurité est notre spécialité. Je travaille pour Jolena depuis 18 ans. J’ai occupé de nombreux postes depuis mes débuts. J’ai été embauché en tant qu’architecte principal, puis je suis passé à la gestion des services professionnels, avant de me joindre à l’équipe des ventes et au groupe d’architecture des solutions. Au cours des six dernières années, je me suis occupé du développement de produits, collaborant avec notre chef de la sécurité de l’information à la conception de produits et à la recherche sur la cybersécurité. Au cours des dernières années, j’ai été nommé chef de la technologie.

Darren Bahadur : Terrence, du point de vue d’un profane en la matière, il semble que les cybermenaces se développent à un rythme exponentiel. Pas un jour ne passe sans qu’une atteinte à la cybersécurité ne défraie la chronique, semble-t-il. Personnellement, je reçois des appels indésirables tous les jours. Maintenant, je suis sûr que notre auditoire s’interroge sur le rôle que peut jouer l’intelligence artificielle dans l’univers de la cybersécurité et sur les mesures à prendre pour se protéger contre des cyberattaques augmentées grâce à l’IA. Mais avant de vous céder la parole, voici un bref avertissement de nos collègues de l’équipe juridique.

Les renseignements présentés dans le cadre de ce webinaire sont d’usage général et sont à jour au 26 novembre 2024. Les renseignements contenus dans cette discussion ne constituent pas des conseils juridiques, financiers, comptables, fiscaux, liés aux placements ou autres, et ne doivent pas servir de fondements à de tels conseils.

Maintenant que je me suis acquitté de cette formalité, je vous cède la parole, Terrence :  je sais que vous en avez beaucoup à dire.

Terence Persaud : Très bien. J’affiche ma présentation à l’écran; dites-moi, voyez-vous la première diapositive?

Darren Bahadur : Oui, nous la voyons.

Terence Persaud : Parfait, allons-y. Merci à tous de participer à ce webinaire sur la cybersécurité à l’ère de l’IA. Aujourd’hui, nous allons nous pencher sur les croisements entre l’IA et la cybersécurité. Nous vivons à une époque où l’intelligence artificielle influe à la fois sur les cybermenaces et sur nos capacités à nous défendre contre ces menaces. Chaque geste en ligne, que l’on consulte ses courriels en matinée ou que l’on visionne du contenu sur Netflix en soirée, est désormais un point d’entrée potentiel pour des attaques basées sur l’IA. Imaginez un monde où un appel téléphonique pourrait ne pas provenir de la personne que vous croyez et où une vidéo pourrait être entièrement fabriquée. Sur Internet, vous avez probablement déjà vu des exemples de courriels frauduleux au contenu qui s’adapte à vos achats en ligne pour mieux tenter de vous berner. Ce n’est plus de la science-fiction. C’est notre réalité en 2024. Ainsi, votre vie numérique, vos opérations bancaires, vos comptes de médias sociaux, vos courriels professionnels, vos appareils domestiques intelligents sont tous à risque d’être ciblés par des attaques sophistiquées basées sur l’IA. Mais chaque avancée illicite rendue possible par l’IA s’accompagne d’un progrès équivalent dans le domaine de la cybersécurité grâce à l’IA.

Le webinaire d’aujourd’hui n’a donc pas pour but de vous faire peur, mais plutôt de vous aider à comprendre cette nouvelle réalité et à vous protéger en conséquence. Je vais donc vous présenter rapidement ce que nous allons aborder aujourd’hui de façon pratique et réalisable. Nous allons commencer par aborder l’évolution des menaces. Nous verrons comment les menaces ont évolué entre 2020 et 2024. Je pense qu’il est important de comprendre comment nous sommes passés de simples rançongiciels à des arnaques optimisées par l’IA. Nous parlerons ensuite du contexte actuel des menaces, de l’utilisation de l’IA comme arme et des raisons pour lesquelles les comptes personnels sont une cible de choix pour les fraudeurs. Nous nous pencherons sur la montée du piratage psychologique et de la manipulation psychologique basée sur l’IA, puis je vous présenterai des cas d’attaques réelles optimisées par l’IA et des exemples de la manière dont l’IA peut vous cibler. Nous discuterons de nouvelles techniques d’attaque basées sur l’IA, telles que l’hypertrucage vidéo et la synthèse de la parole, deux techniques de plus en plus répandues. Nous nous intéresserons aux campagnes d’hameçonnage alimentées par l’IA et au recours à l’IA par les criminels pour perfectionner leurs attaques. Enfin, je vous ferai part de conseils de sécurité pratiques et de saines habitudes à prendre en matière de cybersécurité, et je vous expliquerai comment vous y prendre pour repérer les escroqueries générées par l’IA.

L’IA est vraiment incroyable. Elle nous permet par exemple de rédiger des courriels plus rapidement et de résumer des documents volumineux. Elle est formidable pour la recherche. J’utilise l’IA pour me renseigner sur des produits, sur le développement de produits et sur des technologies émergentes. Mais il y a un hic, n’est-ce pas? Les outils qui nous facilitent la vie simplifient aussi la tâche d’acteurs malveillants. Selon vous, un fraudeur passerait-il des heures à rédiger de faux courriels personnalisés alors que l’IA peut en générer des milliers en quelques minutes? Les cybercriminels raffolent de cette révolution de l’IA tout autant que nous. Et ils aiment le côté pratique de l’IA, peut-être même plus que nous. Mais ce n’est pas une raison de sombrer dans le pessimisme. En fait, l’IA est l’une des armes les plus efficaces pour lutter contre les cybermenaces. Elle nous protège au quotidien. Elle optimise les systèmes qui détectent les courriels indésirables, comme c’est le cas pour les plateformes Gmail et Microsoft 365, où l’IA est intégrée pour détecter toute activité suspecte ou irrégulière.

Bref, l’IA nous protège. J’espère donc que ma présentation vous permettra d’acquérir quelques rudiments techniques pratiques pour protéger votre identité numérique. Venons-en donc à l’évolution des menaces. Je pense qu’il est important de souligner que les cyberattaques sont devenues de plus en plus courantes durant la pandémie. Cette période a été marquée par l’avènement des rançongiciels. Aujourd’hui, avec l’IA, il devient de plus en plus difficile de discerner le vrai du faux, n’est-ce pas? Effectuons un bond dans le temps et retournons à l’année 2020. C’est la crise de la COVID-19, et soudain, les attaques par rançongiciel se multiplient. Clarifions ce qu’est un rançongiciel. Un rançongiciel est un logiciel malveillant qu’un pirate introduit dans l’appareil d’une cible. Ce logiciel contient une charge qui, une fois activée, chiffre les fichiers dans l’appareil et les rend totalement illisibles en utilisant un protocole de chiffrement de grade militaire. La cible de l’attaque devra payer une rançon pour obtenir de nouveau l’accès à ses fichiers. Seul le pirate possède la clé de ce cadenas numérique. Un rançongiciel peut déposer une charge dans un appareil même si ce dernier est équipé d’un système de surveillance des points d’accès ou d’un antivirus, parce qu’un rançongiciel n’est pas malveillant en soi lorsqu’il s’introduit dans l’appareil; il ne le devient qu’une fois qu’un pirate informatique a activé sa charge et que les fichiers ont déjà été chiffrés.

Ces attaques commencent habituellement par un courriel d’hameçonnage habilement conçu. Peut-être qu’en 2020, il s’agissait d’un faux courriel de résultats au test de dépistage de la COVID-19 ou de rendez-vous pour un vaccin. Et en un simple clic, boum, tout est verrouillé. Les pirates ne demandaient pas grand-chose à l’époque, disons entre 500 et 2 000 dollars, et bien des gens étaient prêts à payer ce genre de rançon pour récupérer leurs photos de famille et leurs documents. Puis, en 2021, les pirates informatiques ont raffiné un peu plus leurs techniques et se sont montrés un peu plus voraces. Ils ont mis au point ce qu’on appelle des rançongiciels à double extorsion. Cette double extorsion consiste non seulement à chiffrer les données sensibles d’une victime, mais aussi à les exfiltrer pour les subtiliser. Cela ressemble beaucoup à une attaque par rançongiciel classique, à la différence que si les pirates obtiennent une rançon pour déverrouiller ou déchiffrer des données, ils peuvent à nouveau réclamer le versement d’une rançon en menaçant leur victime de publier ses données en ligne. C’est une façon de piger deux fois dans la même caisse. Mais ce n’est pas tout… Les appareils domestiques que nous avons achetés pendant la pandémie, qu’il s’agisse d’un assistant virtuel Alexa ou Nest ou d’un réfrigérateur intelligent, sont tous connectés à nos réseaux. Et s’ils ne sont pas correctement protégés, les pirates peuvent s’en servir comme porte d’entrée.

Puis, en 2022, la donne change à nouveau du tout au tout. Au lieu de défoncer votre porte d’entrée, les criminels se rendent compte qu’il est beaucoup plus facile de voler vos clés, c’est-à-dire vos identifiants de connexion comme vos noms d’utilisateur et vos mots de passe. Pensez au nombre de comptes que vous possédez aujourd’hui : votre service de messagerie électronique, Netflix, vos comptes bancaires, Facebook. Imaginez maintenant que quelqu’un accède à tous ces comptes. C’est ce qui rend le vol de données financières si dangereux. Et le plus incroyable, c’est à quel point il est facile d’accéder à des outils de piratage depuis 2022. Sur le Web clandestin, on trouve même ce qu’on appelle des trousses d’hameçonnage. En gros, c’est de la cybercriminalité pour les nuls. Vous pourriez par exemple recevoir un courriel vous signalant que votre compte Amazon est bloqué. Le courriel semble authentique : le texte est parfaitement aligné, et le logo et le formatage correspondent à ceux que vous voyez dans les courriels habituels d’Amazon. Vous cliquez sur le lien, vous entrez votre mot de passe sur ce qui ressemble à une page du site web d’Amazon, et boum, vous venez de remettre vos « clés » à un cybercriminel qui enregistre tout ce que vous tapez sur ce faux site web. L’année 2023 arrive, et une fois de plus, tout change. Les fraudes prennent la forme d’arnaques ciblées hautement personnalisées. Au lieu de recevoir des courriels génériques, vous recevez maintenant des courriels qui mentionnent les chaussures Nike que vous avez achetées le jour avant ou l’une de vos publications récentes sur Facebook. C’est un peu comme si l’IA se servait d’une analyse de votre empreinte numérique pour vous tendre le piège parfait, n’est-ce pas? Vous pourriez recevoir un message de ce genre : « Bonjour Sarah. Vous avez commandé des chaussures Nike hier, mais il semble y avoir un problème de livraison. Pourriez-vous vérifier vos coordonnées dans les 24 prochaines heures? » Vous les voulez, ces chaussures Nike! Et le scénario qu’on vous présente semble tout à fait plausible. C’est ce qui rend ce type d’escroquerie si dangereux. S’il y a une leçon à retenir, c’est que l’urgence est l’ennemie de la prudence. Ces attaques fonctionnent parce qu’elles vous poussent à agir rapidement, sur le coup de l’émotion. Si un courriel vous pousse à agir promptement, il vous incite peut-être aussi à commettre une erreur.

Et on en arrive à 2024, où les choses s’emballent. C’est à la fois captivant et terriblement inquiétant. Les hypertrucages font leur entrée en scène. Vous en avez probablement déjà entendu parler. Vous avez peut-être vu un vidéoclip truqué dans lequel l’artiste original a été remplacé par un autre, ou la voix du chanteur a été remplacée par celle d’un autre. Imaginez ce scénario. Vous recevez un appel vidéo de votre chef de la direction. Tout semble indiquer qu’il s’agit bel et bien de lui : il lui ressemble, il parle comme lui et il a même ses manies. Il vous demande de virer 50 000 dollars à un fournisseur. Tout semble légitime. Sauf qu’il ne s’agit pas de votre chef de la direction. C’est plutôt un hypertrucage généré par l’IA. Dans votre vie privée, l’équivalent serait la réception d’un message vocal de votre mère. Dans ce message, votre mère pourrait vous dire : « J’ai des problèmes et j’ai besoin d’aide immédiatement ». Vous reconnaissez le ton et le débit de voix de votre mère. Elle rit comme d’habitude. En fait, c’est l’IA qui imite votre mère à la perfection. Mais comment les fraudeurs ont-ils pu échantillonner la voix de votre mère? Vous avez peut-être déjà reçu un appel d’un numéro inconnu. Vous répondez en disant : « Oui, allô? Qui parle? ». Et il n’y a personne au bout du fil. En fait, des fraudeurs sont en train d’enregistrer votre voix. Ils se serviront ensuite de l’IA pour créer un hypertrucage imitant votre tempérament et votre voix. C’est à cause de telles ruses que nous encourageons les gens à l’extrême prudence, fondée sur le principe de la confiance zéro, en particulier dans notre secteur d’activité ou dans de grandes entreprises, mais aussi à l’extérieur du travail.

De nos jours, la prudence est de mise. La confiance zéro signifie exactement ce qu’elle veut dire. Ne croyez absolument rien à première vue et vérifiez tout, même si cela semble provenir d’une personne que vous connaissez et que tout semble indiquer qu’il s’agit bien d’elle (même si vous êtes prêt à mettre votre main au feu!). Autant que possible, procédez toujours à une contrevérification. La vérité, c’est qu’avec l’intelligence artificielle, il est presque impossible de distinguer le vrai du faux au premier coup d’œil. J’ai vu des tonnes de vidéos truquées où l’on jurerait que le sujet est vrai, tant par l’image que par la voix. C’est ce qui rend ces technologies si convaincantes. Mais rien ne déjoue une bonne vieille vérification. Donc, en 2024, rappelez-vous que votre outil de sécurité le plus puissant n’est pas un logiciel ou une plateforme de pointe, mais bien votre « bouton de pause » (votre « bouton de vérification »). Prenez toujours le temps de contrevérifier l’information.

Parlons maintenant du contexte actuel en matière de cybermenaces. Je vais m’appuyer sur quelques statistiques pour expliquer les raisons pour lesquelles les fraudeurs réorientent leurs attaques vers les particuliers et délaissent les entreprises. Ça vous étonne, non? Les médias se délectent de cyberattaques massives touchant des entreprises; on en entend tout le temps parler, qu’il s’agisse du piratage de Ticketmaster ou d’attaques soutenues par des États. En fait, la situation est en réalité bien plus proche de notre quotidien. Les cybercriminels ont compris une chose essentielle. Plutôt que de tenter de percer les défenses sophistiquées d’une entreprise, renforcées par un pare-feu avec plusieurs couches de sécurité intégrées, pourquoi ne pas s’en prendre aux particuliers? Pensez à des voleurs qui chercheraient une cible de choix dans un quartier. Ils ne s’attaqueraient pas à un manoir équipé de caméras de surveillance et défendu par des chiens de garde. Ils chercheraient la maison où les fenêtres ou la porte d’entrée ont été laissées ouvertes. Pour les cybercriminels, nos comptes personnels sont un peu comme les portes d’entrée dans notre vie numérique.  De nos jours, si l’on se fie aux statistiques, les cybercriminels réalisent qu’ils n’ont pas besoin de pirater vos appareils domestiques connectés à Internet ou vos ordinateurs portables. Tout ce dont ils ont besoin, c’est la clé de vos comptes de messagerie. En vérité, de nos jours, 40 % des cyberattaques visent les comptes personnels. Pourquoi? Parce que votre compte de messagerie sert en quelque sorte de passe-partout pour accéder à toutes les sphères de votre vie. C’est assez terrifiant. Les pirates ne s’intéressent pas seulement au contenu de vos courriels, ils veulent aussi votre ADN numérique. Chaque fois que vous créez un compte, que vous faites un achat ou que vous interagissez en ligne, vous laissez des « traces » : votre historique d’achats sur Amazon, vos préférences Netflix, vos trajets Uber, vos commandes Doordash. Tout cela donne une image très détaillée de votre profil. Et qu’est-ce qui relie tous ces éléments entre eux? Votre adresse électronique. Lorsque vous tentez d’ouvrir une session sur le site d’Amazon, on vous demande si vous voulez vous connecter avec votre compte Gmail. Imaginez que des cybercriminels aient accès aux identifiants de votre compte de messagerie : ils pourraient réinitialiser les mots de passe de tous vos comptes, accéder à votre espace de stockage en nuage et à toutes vos photos de famille, et même consulter votre calendrier pour découvrir ce que vous faites en vacances. Ils pourraient vérifier votre historique de commandes de livraison de repas pour déduire les moments où vous n’êtes pas à la maison. Comme vous le voyez, il ne s’agit pas d’un vol, mais d’un détournement numérique. Nous en arrivons maintenant au piratage psychologique. Ce pourcentage de 71 % associé aux attaques de ce type n’est pas qu’un chiffre. Au-delà d’une simple statistique, c’est la confirmation que les pirates commencent à comprendre comment exploiter la psychologie pour nous manipuler. Voyez le piratage psychologique comme un tour de prestidigitation. Pendant que vous regardez la main droite, la main gauche fait le vrai travail. Ces pirates sont des maîtres de la manipulation psychologique. Ils savent que nous sommes programmés pour réagir à la peur, à l’urgence et à la curiosité, et ils se servent de ces émotions comme levier pour nous manipuler.

Je vais donc vous donner un exemple d’une attaque qui s’est réellement produite le mois dernier. Un pirate informatique a utilisé l’IA pour analyser les milliers de publications faites par une entreprise technologique sur LinkedIn. Cette analyse lui a permis d’assimiler le jargon interne de l’entreprise, comme la terminologie ou les codes utilisés pour désigner des projets menés à l’interne. L’IA a même relevé quelques blagues qui circulaient au sein de l’entreprise. Le pirate informatique a ensuite rédigé un courriel qui semblait provenir du soutien technique, mentionnant des projets en cours et calquant les expressions et formulations habituelles des communications internes de l’entreprise. L’aspect le plus inquiétant de tout cela, c’est que les outils de communication et de sécurité traditionnels ne peuvent pas détecter ce genre de stratagème parce qu’aucune règle n’est vraiment enfreinte. Il s’agit simplement d’un courriel qui s’inspire des interactions habituelles au sein de l’entreprise. Le message semble authentique et cohérent. Il n’éveille aucun soupçon. Et pourtant, ce n’est qu’une illusion. Mais voilà, plus nous laissons d’empreintes numériques, que ce soit en ligne ou en utilisant l’IA, plus nous donnons de munitions aux pirates informatiques. Chaque message, chaque photo, chaque mise à jour que l’on partage en ligne peut devenir un élément de leur arsenal de guerre psychologique.

Et les fraudeurs ne se contentent pas de voler nos données, ils nous prennent aussi en otage numérique. Nous arrivons ici à un carrefour où la sécurité et l’IA se croisent. Ou plutôt à un bras de fer entre l’IA et la cybersécurité, un duel où s’affrontent des forces faisant appel à l’IA. D’une part, l’IA représente une menace, d’autre part, elle nous aide à nous protéger. Commençons par le revers de la médaille : l’IA en tant que menace. Des criminels peuvent créer des hypertrucages d’un réalisme stupéfiant (pensez au faux message vidéo d’un chef de la direction dont je viens de vous parler). La ressemblance est parfaitement trompeuse. Par des hypertrucages, des contrôleurs financiers ont déjà été persuadés de virer des millions de dollars provenant des comptes d’une société. Nous y reviendrons un peu plus tard. Je le répète :  les faux courriels et les attaques optimisées par l’IA sont une forme de harcèlement numérique. L’IA étudie vos faits et gestes, et vous comprend peut-être mieux que vous ne vous comprenez vous-même. C’est dire à quel point ces escroqueries sont sophistiquées.

Nous venons d’aborder les mauvais côtés de l’IA. Penchons-nous maintenant sur l’IA en tant qu’instrument de cybersécurité. Nous nous servons de l’IA pour nous protéger et détecter des menaces générées par l’IA, un peu comme une tour de guet numérique. Les boucliers intelligents font leur entrée sur le marché. Ce genre de bouclier se poste en sentinelle, veillant jour et nuit sur la sécurité de vos comptes. Disons que vous ouvrez une session dans votre compte Facebook depuis Toronto à 15 h et, qu’une heure plus tard, quelqu’un tente d’accéder à votre compte depuis le New Jersey, un bouclier intelligent serait en mesure de déterminer qu’il vous est impossible de faire le trajet qui sépare Toronto du New Jersey en une heure. Ce genre de bouclier cherche à relever toute corrélation impossible ou incongrue, ou toute activité inhabituelle. Il existe aussi des « exterminateurs de pourriels ». Si vous utilisez G Suite ou Microsoft 365, ou si vous vous servez des filtres antipourriels les plus courants, vos courriels sont triés par l’IA, qui intercepte les pourriels avant qu’ils n’atteignent votre boîte de réception.

Vous pourriez aussi avoir un assistant de sécurité personnel, comme celui proposé par Gmail. Si vous utilisez Gmail, une fenêtre contextuelle s’affiche de temps en temps pour vous suggérer une mise au point de vos paramètres de sécurité et vous recommander des mesures à prendre pour protéger votre compte. Cet assistant pourrait vous avertir que votre adresse électronique est utilisée sur un site web clandestin. Il peut aussi vous suggérer d’activer l’authentification à facteurs multiples (AFM) pour votre environnement ou vos comptes. Bref, il détermine des mesures de sécurité que vous pourriez prendre. Enfin, nous avons les détecteurs d’hypertrucage (pensez à un polygraphe pour détecter le contenu manipulé), dont l’usage se répand à mesure que les hypertrucages se multiplient. Il s’agit en fait d’utiliser l’IA pour détecter l’IA, ce qui se produit de plus en plus. Heureusement, aucun client de Jolera n’a encore été victime d’un hypertrucage, mais cela pourrait se produire à tout moment. Si l’IA soutient l’évolution rapide des menaces, elle nous donne en même temps les moyens de les neutraliser. J’aimerais maintenant vous présenter trois exemples de cyberattaques ou de tentatives de cyberattaque.

Commençons par l’arnaque par logiciel d’accès à distance. Prenons l’exemple concret d’une victime d’une arnaque au Texas, qui illustre parfaitement la technique de l’arnaque par logiciel d’accès à distance. Imaginez qu’une fenêtre contextuelle s’affiche sur l’écran de votre ordinateur, vous alarmant que votre ordinateur est infecté par un virus et que vous devez cliquer sur un lien ou un bouton pour le nettoyer (ça nous est tous déjà arrivé). Ce faux message d’alerte sert d’amorce à une arnaque par logiciel d’accès à distance. Dans ce cas précis, une personne de 68 ans au Texas a cliqué sur la fausse alerte antivirus s’affichant à l’écran de son ordinateur, ce qui a permis à des pirates informatiques d’accéder à son ordinateur. Après s’être infiltrés, les escrocs ont dérobé 85 000 dollars dans le compte bancaire en ligne de la personne. Pour rendre leur supercherie plus crédible, ils ont même manipulé leur victime en se faisant passer pour des représentants de sa banque. Cette escroquerie fonctionne en exploitant la panique d’une personne. La fenêtre contextuelle, tout à fait plausible en apparence, est alarmante : elle presse la victime à agir vite sans bien y réfléchir. Et dès que l’accès est accordé, les pirates prennent totalement le contrôle de l’ordinateur. Le message essentiel à retenir, qui est le fil conducteur de ce webinaire, c’est qu’il faut toujours être prudent et se méfier de tout. Méfiez-vous des fenêtres contextuelles, particulièrement celles qui demandent une intervention immédiate. Si vous tombez sur ce genre de fenêtres, fermez-les et lancez plutôt une analyse avec un logiciel antivirus fiable. Surtout, ne cliquez jamais sur un lien suspect.

La deuxième fraude dont je veux parler est une campagne d’hameçonnage. Ou un courriel d’hameçonnage. En fait, l’exemple que j’ai en tête est une véritable campagne d’hameçonnage qui s’est déroulée cette année. Cela reste un des moyens les plus courants utilisés par les pirates pour cibler les gens. Donc, au Canada, un certain nombre de clients de diverses banques ont été ciblés par des courriels qui semblaient provenir de leur banque. Dans le courriel, on leur demandait de cliquer sur un lien pour vérifier leur compte, puis de mettre à jour leurs identifiants de connexion. Après avoir cliqué sur le lien, les clients étaient redirigés vers le site Web de la banque, où ils devaient modifier leurs identifiants pour une raison quelconque. Le problème, c’est que le lien ne menait pas au site Web de la banque. Il menait plutôt à un faux site conçu pour voler leurs identifiants. Ces courriels et ces sites ont l’air vrais. On y trouve même les logos de la banque assortis d’un langage professionnel, voire d’un message personnalisé. De nos jours, les campagnes d’hameçonnage de ce type sont plus évoluées qu’elles ne l’étaient auparavant, car les pirates utilisent l’IA pour analyser les données et créer des courriels qui semblent légitimes. Ils imitent si bien le ton, la facture visuelle et le sentiment d’urgence qu’il est difficile de distinguer le vrai du faux. La meilleure façon de se protéger consiste donc à tout vérifier. Si vous recevez un courriel vous demandant de fournir des renseignements personnels, ne cliquez sur rien. Allez plutôt sur le site officiel de l’entreprise ou appelez-la pour confirmer.

Le dernier cas est vraiment exceptionnel. Certains d’entre vous en ont peut-être entendu parler. Cette affaire a fait la une des journaux. C’est l’une des nouvelles tactiques les plus inquiétantes de la cybercriminalité. Il s’agit de l’hypertrucage. Les pirates utilisent ce type de fraude pour créer de fausses vidéos et de faux enregistrements audio. Dans ce cas-ci, des pirates ont eu recours à un hypertrucage audio pour se faire passer pour le directeur des finances d’une entreprise pendant une réunion en ligne. Le directeur, qui était en télétravail, n’avait aucune idée de ce qui se tramait. Et en manipulant sa voix par hypertrucage, les cybercriminels ont convaincu une personne au sein de l’organisation de transférer 25,6 millions de dollars sur le compte d’un pirate. Imaginez à quel point le trucage devait être convaincant. La victime croyait recevoir des instructions du directeur des finances. La technologie servant à faire des hypertrucages est extrêmement puissante, et il est de plus en plus facile pour les cybercriminels d’y avoir accès. Certains d’entre vous ont peut-être entendu parler de la nouvelle plateforme Sora de ChatGPT. Essentiellement, Sora est capable de créer des films et des animations à partir d’un langage naturel de base.

Elle n’a pas encore été lancée et pour cause! On craint qu’elle soit utilisée à des fins malveillantes. Les cybercriminels qui se livrent à l’hypertrucage veulent exploiter votre confiance. Si vous voyez une personne en vidéo ou entendez sa voix sur une bande audio, vous avez moins tendance à remettre en question ce que vous voyez ou entendez. Les pirates se servent de cette confiance pour vous manipuler. La vérification est le meilleur moyen de se protéger contre les hypertrucages. Si on vous fait une demande inhabituelle, et ce, même lorsque la demande semble émaner d’une personne de confiance, prenez un temps d’arrêt et confirmez les instructions reçues par un autre canal. Un simple appel téléphonique peut vous sauver la mise en cas d’hypertrucage. Après ce tour d’horizon des cybermenaces utilisées au fil du temps, exemples à l’appui, j’ai une bonne nouvelle à vous annoncer : il n’est pas nécessaire d’être un expert en cybersécurité pour se protéger. Il suffit d’adopter quelques habitudes simples, comme vérifier les demandes et se méfier des liens. Avant de passer à la diapositive suivante, je tiens à préciser que je travaille régulièrement avec notre responsable de la sécurité de l’information et que nous avons eu connaissance de centaines de cyberattaques à l’encontre d’entreprises. Et je peux vous dire que neuf fois sur dix, les pirates n’arrivent pas à leurs fins en déjouant un pare-feu de pointe, un système évolué de détection et d’intervention gérées ou des mesures de protection IA robustes à plusieurs niveaux. Ils s’immiscent plutôt dans l’environnement par des fenêtres laissées ouvertes, une brèche qui résulte des choses élémentaires que vous faites tous les jours.

La prochaine diapositive présente les mesures de base à prendre pour vous protéger. Il s’agit, en général, des moyens les plus courants utilisés par les cybercriminels pour s’introduire dans un environnement. La première chose à faire est de marquer un temps d’arrêt avant de cliquer. Il m’est justement arrivé un incident durant la rédaction de ce webinaire avec Darren et l’équipe : j’attendais un colis de FedEx et une fenêtre contextuelle s’est affichée pendant que j’étais en train de créer cette présentation. Le message indiquait que la livraison serait retardée si je ne faisais pas une certaine action. J’étais sur le point de cliquer sur la fenêtre. Après tout, la livraison de ce colis, que j’attendais, était prévue pour le lendemain. J’ai décidé de cliquer sur l’adresse de l’expéditeur du courriel. En principe, il s’agissait de Fedex, sauf que l’adresse de domaine était bizarre et donnait quelque chose comme « fedex.com.ex ». Survolez toujours les liens et vérifiez toujours l’expéditeur. C’est probablement le moyen le plus courant utilisé par les cybercriminels pour pénétrer dans votre environnement et dans vos comptes.

La deuxième mesure consiste à activer l’authentification multifactorielle. Parfois, l’activation de ce type d’authentification vous oblige à vous connecter à divers types de comptes. Il y a une deuxième forme d’authentification. Il faut d’abord aller dans l’application qu’on veut ouvrir, puis dans l’application d’authentification, et il y a d’autres étapes à effectuer par la suite. Pour un pirate, la plupart des systèmes d’authentification multifactorielle sont incroyablement difficiles à contourner, car le code change toutes les 60 secondes. Activez ce type d’authentification dans votre environnement.

Comme troisième mesure, il faut utiliser des mots de passe uniques. De nos jours, il est facile de se procurer un gestionnaire de mots de passe pour une très modique somme. Les pirates se servent souvent des mots de passe comme moyen d’accès. Il se peut, en effet, que vous utilisiez le même mot de passe pour accéder à Netflix, à votre compte professionnel et à votre compte bancaire. Nous sommes humains, après tout, et avons tendance à nous simplifier la vie en réutilisant les mêmes mots de passe. Les gestionnaires de mots de passe facilitent les choses. Vous disposez d’un seul mot de passe principal, qui est chiffré, puis il crée des mots de passe très complexes et gère tout cela pour vous. Pour vos autres comptes, il est important de garder vos logiciels à jour. Là encore, il se peut qu’une fenêtre contextuelle de Windows s’affiche et vous demande d’installer certaines mises à jour en plein milieu de votre journée de travail. Ce n’est pas particulièrement plaisant, mais vous devez tout fermer. Au moment où vous recevez cette notification, les pirates savent qu’il y a faille de sécurité et ils vont essayer de s’introduire dans le plus grand nombre de systèmes possible avant que vous n’apportiez un correctif à votre système.

Sauvegardez vos données, chiffrez-les et protégez vos fichiers contre les rançongiciels. Les sauvegardes sont probablement la mesure de protection la plus importante que vous puissiez prendre. Sans oublier le chiffrement de vos informations. Si un pirate informatique venait à s’emparer de celles-ci, il n’aurait rien à divulguer. Il faut donc chiffrer vos données et les sauvegarder dans un endroit sûr, que ce soit dans le nuage ou ailleurs. Utilisez ensuite les outils optimisés par l’IA. La plupart des plateformes en ligne disposent aujourd’hui d’outils de ce type qui recherchent tout comportement sortant de l’ordinaire, c’est-à-dire des gestes qu’on ne poserait pas dans la vie de tous les jours ou qui dérogent à nos habitudes. Les compagnies émettrices de cartes de crédit excellent dans la recherche de comportements anormaux. Elles détecteront les achats inhabituels pour une personne donnée et vérifieront si la personne concernée les a vraiment faits. Et elles enverront une alerte. Plus important encore, faites confiance à votre instinct. Sans exception. Si vous sentez que quelque chose cloche, abstenez-vous de cliquer ou de suivre les instructions reçues. Prenez l’habitude de vérifier d’abord.

Voici quelques outils d’IA que vous pouvez utiliser. Je tiens à répéter que la meilleure façon de vous protéger consiste à faire des vérifications en cas de doute, à faire confiance à votre instinct, à utiliser l’effet de survol et à prendre un temps d’arrêt. Mais il existe aussi des outils que vous pouvez utiliser pour vous protéger, que l’on appelle outils de protection de l’identité. Ces outils surveillent votre identité. Par exemple votre courriel, votre nom d’utilisateur ou votre mot de passe. Ils surveillent également le Web clandestin pour voir si vos renseignements s’y trouvent. Si ces derniers ont été mis en vente, ils le détecteront. Nous passons ensuite aux filtres antipourriels intelligents. J’imagine que la majorité des gens les utilisent déjà. La plupart des filtres d’aujourd’hui intègrent l’IA, comme ceux de Gmail et d’Outlook. Il y a aussi les outils de surveillance du comportement, que j’ai déjà mentionnés, qui servent à détecter des connexions inhabituelles ou des déplacements impossibles. Par exemple, le fait de se connecter ici, à Toronto, puis 30 minutes plus tard, depuis le New Jersey ou New York. L’outil surveille le comportement de la personne et tente de déterminer si quelque chose est inhabituel par rapport à ses activités normales. Ensuite, il y a la détection des fraudes personnelles. Il s’agit, par exemple, de votre banque qui surveille les transactions bizarres et les comportements inhabituels pour signaler des fraudes potentielles. Nous misons sur l’apprentissage automatique. Lorsque quelque chose sort de l’ordinaire, c’est ce qu’on appelle un comportement anormal. Les applications de sécurité mobile gagnent en importance. L’été dernier, j’étais en Europe, où je travaille une grande partie de l’année et j’ai perdu mon téléphone. En fait, je ne l’ai pas perdu, il a cessé de fonctionner. L’écran a cessé de fonctionner. C’est la première fois que cela m’arrivait, et j’ai réalisé à quel point nous dépendons de notre téléphone. Notre identité et notre téléphone ne font qu’un. Notre portefeuille, notre passeport, nos cartes de crédit, nos renseignements bancaires, toutes nos informations de connexion, nos numéros de téléphone, nos contacts : tout ça est sur notre téléphone. Votre appareil mobile doit donc disposer de mesures de protection adéquates. C’est de plus en plus important. Enfin, bien sûr, il y a les gestionnaires de mots de passe intégrant l’IA dont j’ai déjà parlé.

Beaucoup de ces gestionnaires sont désormais fondés sur l’IA. Ils vérifient non seulement si vos mots de passe sont sécurisés et chiffrés, mais ils analysent également le Web clandestin pour déterminer si quelqu’un utilise votre mot de passe ailleurs. Et ils le protégeront. Ils feront plein de choses vraiment intéressantes pour assurer votre sécurité. Enfin, je voudrais parler rapidement des plans d’intervention en cas d’intrusion. Il arrive très souvent que de nouveaux clients nous appellent lorsqu’ils constatent le chiffrement soudain de certaines données sur leurs ordinateurs. Autrement dit, ils sont en train de subir une attaque. Donc, si on pense à titre individuel, il y a quelques mesures qu’une personne peut prendre dans pareille situation. La première chose consiste à faire bloquer les comptes compromis. Et il ne faut pas appeler la succursale locale. Chaque banque ou chaque plateforme a son service de détection des fraudes. Il faut appeler ce service. Avant, préparez-vous à énumérer les comptes touchés et à transmettre certains renseignements à leur sujet, puis demandez le blocage immédiat de tous ces comptes et la confirmation que cela a été fait. Si vous croyez être victime d’une intrusion, il faut le signaler aux institutions concernées. C’est l’étape suivante. Informez-les que des personnes malveillantes semblent s’attaquer à votre compte. Demandez-leur de commencer à enquêter sur ce qui se passe. Pendant ce temps, il est très important de continuer à surveiller tous vos autres services pour vous assurer que rien d’autre ne se passe, qu’il n’y a pas d’accès non autorisé à ces autres comptes. Enfin, les gens ont tendance à oublier ce point qui est pourtant très important : il faut tout documenter. Chez Jolera, lorsque nous effectuons une analyse en informatique judiciaire, nous documentons toutes nos actions. Nous notons la date, l’heure et l’action en détail. Pourquoi est-ce important? Tout d’abord, il est important de disposer d’un journal pour chaque action. Deuxièmement, si vous avez perdu de l’argent sur votre carte de crédit, sur un de vos divers comptes bancaires ou sur votre compte d’assurance, vous aurez besoin d’un journal complet de tout ce qui s’est passé. Vous trouverez dans ce journal toute l’info voulue, ce qui accélérera le traitement des retours, des remboursements, des réclamations d’assurance ou des réclamations au titre d’une garantie.

On arrive à la fin du webinaire. J’aimerais que vous reteniez le message suivant : s’il est vrai que la cybersécurité est rendue très complexe, c’est l’oubli de tâches courantes, des tâches de base comme la vérification et l’activation de l’authentification multifactorielle, qui permet aux pirates de s’introduire dans un environnement. J’espère que vous effectuerez ces tâches, comme prendre l’habitude de tout vérifier, de ne pas faire confiance aveuglément, de passer un coup de fil au besoin, d’activer l’authentification multifactorielle et de faire vos mises à jour de base. Ce sont des choses simples à la portée de tous pour se protéger au quotidien.

Darren Bahadur : Merci beaucoup, Terence. Vous avez tout à fait raison. Face à la complexité de la cybersécurité et de l’IA, sans oublier la peur qu’elles peuvent susciter, le gros bon sens est la meilleure attitude à adopter. Et vous avez parlé de nos courriels personnels. À titre personnel, je peux dire qu’une énorme partie de ma vie passe par mon courrier électronique, qu’il s’agisse de reçus Uber ou de colis Amazon. Et il n’y a rien de plus simple que de protéger ces mots de passe. Je vous remercie. Quelques questions ont été posées, alors jetons-y un coup d’œil. Je vais reformuler un peu. Dans le cadre de vos saines habitudes de [cyber]sécurité, vous avez parlé des sauvegardes et du chiffrement des données. À l’heure où nous délaissons de plus en plus le papier au profit du stockage en nuage, est-il vraiment judicieux d’utiliser des solutions comme Google Drive, iCloud ou Microsoft OneDrive? Sont-elles fiables et plus sécurisées que la sauvegarde de fichiers ou de données sur un disque dur local?

Terence Persaud : Oui, bonne question, excellente question. Voici ce qu’il faut savoir sur les pirates lorsqu’ils introduisent un rançongiciel dans votre environnement. Si vous avez des sauvegardes enregistrées sur votre disque dur local, ils les suppriment tout de suite, avant de chiffrer vos informations, ce qu’ils font juste après. Après tout, la première chose que vous faites lorsque vous constatez que vos données ont été chiffrées, c’est d’aller dans vos sauvegardes locales, si vous en avez. C’est monnaie courante dans les entreprises qui ont des sauvegardes, des bandes ou des clés USB sur place. Les pirates les suppriment : c’est la première chose qu’ils font. Passons aux mémoires en ligne, comme iCloud, G Suite ou Microsoft 365 OneDrive. N’oubliez pas que les pirates chiffrent non seulement les informations contenues dans votre environnement, mais qu’ils prennent aussi le contrôle de nombreux éléments, comme l’authentification multifactorielle. Ils disposent également d’outils de sécurité IA très évolués qui surveillent l’endroit depuis lequel vous vous connectez, les accès conditionnels et vos modes d’accès. Cela dit, jamais un client ne nous a appelés pour signaler le piratage, le chiffrement ou le vol de ses données dans Microsoft 365 ou Google Drive. Je vous recommande donc vivement de sauvegarder vos données dans ce type de solutions.

Darren Bahadur : Parfait, c’est bon à savoir. La question suivante est un peu plus compliquée ou obscure. Les grands modèles de langage, ou GML, p. ex. ChatGPT. De tels outils démocratisent les cybermenaces en quelque sorte. Il n’a jamais été aussi facile de générer du code malveillant. Quelles mesures de protection des entreprises comme OpenAI, Google Gemini, Meta AI ou Microsoft mettent-elles en place? Et quel rôle pensez-vous que la réglementation jouera dans l’avenir?

Terence Persaud : C’est une excellente question. Je pense que l’IA est encore en phase de découverte. On l’utilise dans le secteur de la consommation depuis quelques années déjà. Si je demandais à ChatGPT de me créer un logiciel malveillant, il dirait non. C’est dans sa nature de dire non à ce genre de demandes. Mais en tant que professionnel du secteur, je sais que les logiciels malveillants comprennent différents ensembles de lignes de code. Je pourrais donc probablement trouver un moyen d’utiliser l’IA pour développer le code logiciel dont j’ai besoin. Mais pour les entreprises d’IA, la question se pose en deux temps. Ces entreprises savent qu’elles ont une grande responsabilité dans ce qui se passe sur leurs plateformes. Elles prennent donc des mesures pour empêcher la création de logiciels utilisés dans le cadre d’activités malveillantes. Elles prennent des mesures pour contrer beaucoup de choses qui pourraient être utilisées à des fins malveillantes. Elles ne pinceront pas tout le monde tout de suite. Il y aura toujours quelqu’un qui finira par trouver un moyen de manipuler le système sur le plan réglementaire. Je pense que l’UE a été le premier regroupement d’États ou la première organisation à présenter un projet de loi sur l’IA.

Un projet de loi dans le genre a aussi été déposé aux États-Unis, je crois. L’IA évolue si rapidement que les gouvernements auront de la difficulté à suivre. C’est là le principal défi, à mon avis. Les gouvernements établissent donc différentes règles. Il va falloir réglementer le secteur. Il n’y a pas moyen de faire autrement. Certaines questions éthiques se posent également. Tous ces éléments doivent être pris en compte. C’est une question très complexe, et nous essayons encore d’y voir clair.

Darren Bahadur : Oui, ça bouge beaucoup, n’est-ce pas?

Terence Persaud : Oui, exactement. La situation change de jour en jour, sous l’impulsion des différentes administrations politiques.

Darren Bahadur : Je n’en doute pas. Passons à la question suivante. On sait que l’IA apprend continuellement du fait qu’elle est basée sur des modèles. Que se passe-t-il si elle apprend des informations erronées ou si elle commence à intégrer des biais dans son algorithme?

Terence Persaud :  C’est ce qu’on appelle la dérive de l’IA. Nous travaillons avec OpenAI, avec IBM (sa plateforme Watson X) et avec quelques autres fournisseurs, comme Anthropic, et ils ont tous intégré un paramètre à leur plateforme d’IA qu’ils appellent l’effet de dérive. La dérive mesure les biais propres à une plateforme d’IA. Il peut s’agir d’évaluer les réponses données à un homme par rapport à celles données à une femme, ou de mesurer les types de réponses données par tranche d’âge, par exemple les réponses présentées à un jeune utilisateur comparativement à celles présentées à un utilisateur plus âgé. Cela fait partie de l’IA éthique et responsable, dont la dérive est un aspect important. Il existe une mesure, une base de référence, un score que ces entreprises utilisent pour déterminer si leur plateforme est trop biaisée dans un sens ou dans l’autre. Et elles sont capables d’ajuster automatiquement ce biais.

Darren Bahadur : Très bien. Une dernière question, qui vient de moi. Nous avons couvert beaucoup de contenu intéressant aujourd’hui, de l’évolution de l’IA et de sa popularité grandissante aux saines habitudes de cybersécurité. Pour finir, quel conseil avez-vous à donner aux membres de l’auditoire?

Terence Persaud : Fiez-vous à votre instinct. Vérifiez tout. Comme je l’ai dit, la grande majorité des intrusions ne sont pas le fruit d’attaques complexes à travers le pare-feu. Il s’agit de courriels très personnalisés qui semblent légitimes, qui semblent provenir de votre mère, qui semblent provenir de votre banque, qui semblent provenir d’une source légitime. Or, une petite enquête, un petit temps d’arrêt, un survol rapide de l’adresse électronique peuvent parfois vous faire économiser des dizaines de milliers de dollars. C’est donc le meilleur conseil que je puisse vous donner.

Darren Bahadur : Bon conseil, Terence. Encore une fois, merci beaucoup de cet entretien. Nous avons beaucoup appris sur la cybersécurité, l’IA et son influence sur notre vie quotidienne. Si vous avez des questions sur la présentation d’aujourd’hui, n’hésitez pas à contacter votre représentant Beutel Goodman, qui vous répondra avec plaisir. Vous pouvez également visiter notre site Web, beutelgoodman.com, où vous trouverez une bibliothèque de livres blancs, d’articles de fond et de webinaires enregistrés sur divers sujets. Pour conclure, à l’approche du mois de décembre, nous tenions à vous souhaiter de joyeuses fêtes. Merci d’avoir été des nôtres.

Sujets connexes et liens d’intérêt :

• Série de conférences Beutel Goodman : Conversation avec Restaurant Brands International
• Série de conférences Beutel Goodman : Conversation avec Hydro One
• Série de conférences Beutel Goodman : Les soins aux aînés
• Série de conférences Beutel Goodman : Planifier pour demain, dès aujourd’hui

 

© Beutel, Goodman & Company Ltée, 2024. Le présent document ne peut pas être vendu ou modifié sans le consentement écrit préalable de Beutel, Goodman & Company Ltée. Ces commentaires représentent les points de vue de Beutel, Goodman & Company Ltée à la date indiquée.
Le présent document n’a pas pour objet de proposer des conseils juridiques, financiers, comptables, fiscaux, de placement ou autres et ne doit pas être utilisé à ce titre.