Une étude menée par l’Université Charles Darwin (Australie) et publiée dans l’International Journal of Information Security démontre le potentiel de l’IA générative pour améliorer l’efficacité des tests d’intrusion, également appelés « pentest ».
Le test des chercheurs consistait à pénétrer dans une machine virtuelle vulnérable, accessible sur la plateforme VulnHub. Les invites comprenaient les tentatives pour se connecter de manière anonyme à un serveur pour télécharger des fichiers, inspecter les codes sources des pages Web et à trouver des failles antérieures ou cachées.
Ils ont utilisé l’IA générative (ChatGPT 3.5) pour mener une série d’activités de test d’intrusion de bout en bout dans les cinq activités de reconnaissance, d’analyse, d’évaluation des vulnérabilités, d’exploitation et de reporting.
Selon le Dr Shanmugam, co-auteur de l’étude, ChatGPT s’est révélé précieux pour collecter des informations sur le système, pour faciliter la réalisation d’analyses détaillées de la cible et a surtout brillé dans l’exploitation des vulnérabilités de la machine distante. A partir des vulnérabilités identifiées, il s’est en effet montré capable de suggérer les exploits potentiels les plus appropriés pour aboutir à une élévation des privilèges et atteindre l’objectif de compromettre complètement la machine distante.
« L’IA générative et les LLM ont le potentiel de révolutionner le pentesting, offrant de nombreux avantages tels qu’une efficacité améliorée, une créativité accrue, des environnements de test personnalisés, ainsi qu’un apprentissage et une adaptation continus », conclut l’étude.
Les auteurs soulignent que l’IA générative peut identifier rapidement les vulnérabilités d’un système en simulant un large éventail de scénarios d’attaque potentiels. Les équipes de sécurité peuvent ainsi concentrer leurs efforts sur les vulnérabilités les plus critiques et mettre en œuvre plus rapidement les contre-mesures nécessaires.
Les chercheurs mettent toutefois en garde contre le caractère « à double tranchant » d’une technologie qui soulève aussi son lot de défis (dépendance excessive à l’IA, biais, préoccupations éthiques et juridiques…) et peut être utilisée à des fins offensives. Elle peut générer des logiciels malveillants polymorphes, des menaces persistantes avancées, pouvant conduire à une course aux armements et à un développement incontrôlé de l’IA.
« La clé est d’adopter des pratiques responsables pour garantir que les avantages de la technologie se concrétisent tout en minimisant les inconvénients potentiels », soulignent les auteurs. « Ce faisant, les organisations peuvent tirer parti de la puissance de GenAI pour mieux se protéger contre un paysage de menaces en constante évolution et maintenir un environnement numérique sécurisé pour tous. »