Les chatbots alimentés par l’IA sont devenus essentiels dans la vie quotidienne, gérant tout, du service client aux tâches personnelles.

Leur commodité pousse de nombreuses personnes à partager des données sensibles sans hésitation.
Mais la récente violation de données d’OmniGPT nous rappelle brutalement les risques encourus.

Un pirate informatique aurait exposé les données personnelles de 30 000 utilisateurs, y compris des courriels, des numéros de téléphone et 34 millions de journaux de conversation, dont certains contiennent des informations d’identification, des détails de facturation et des clés API.
Il ne s’agit pas seulement d’une faille de sécurité, mais d’une atteinte directe à la confiance des utilisateurs.

Alors que les chatbots d’IA continuent de façonner notre monde numérique, leur sécurité doit suivre le mouvement.
La vraie question n’est pas de savoir s’ils sont utiles, mais s’ils peuvent réellement protéger les données que nous leur confions.

Découvrez comment Skyhigh Security peut vous aider à exploiter la puissance de l’IA tout en protégeant vos données.

Bot Busted Up : fuite de données présumée d’un chatbot utilisant l’IA
Des rapports faisant état de fuites de données provenant d’un chatbot populaire doté d’une IA sont inquiétant !

Les chatbots basés sur l’IA s’intègrent parfaitement à presque tous les aspects de notre vie, des réponses aux questions et de l’assistance client à la gestion des tâches personnelles; allant même jusqu’à piloter certaines transactions.

Grâce à leur capacité à offrir des interactions instantanées et personnalisées, nous partageons librement des données sensibles, souvent sans hésiter.
Cependant, lorsqu’un service de chatbot subit une fuite de données, cela ne compromet pas seulement la vie privée des individus : cela porte atteinte à la confiance même des utilisateurs dans ces technologies.

Le volume considérable de données personnelles, financières et conversationnelles échangées avec ces systèmes d’IA signifie qu’une faille pourrait avoir des conséquences considérables, affectant tout, de la sécurité personnelle à la fiabilité des services d’IA sur lesquels nous comptons.

Selon des informations publiées sur les tristement célèbres forums Breach, un pirate informatique aurait prétendu avoir infiltré OmniGPT, un chatbot IA et une plateforme de productivité largement utilisés.
La faille aurait exposé les données personnelles de 30 000 utilisateurs, dont leurs adresses e-mail, leurs numéros de téléphone et plus de 34 millions de lignes de conversations.
De plus les conversations des utilisateurs, les données exposées incluent également des liens vers des fichiers téléchargés, dont certains contiennent des informations sensibles telles que des identifiants, des informations de facturation et des clés API.

À vrai dire, il est difficile de ne pas être un peu inquiet face à la fuite de données d’un service de chatbot IA, surtout compte tenu de la popularité fulgurante de ces outils.

Nous comptons sur eux pour de nombreuses fonctionnalités, de la rédaction créative au brainstorming, en passant par la recherche et même l’automatisation des processus métier.

Figure 1. La prétendue violation d’OmniGPT fait l’objet de plaintes sur les forums de violation. Source : HackRead.com

Pourquoi ces incidents se produisent-ils ?

L’accessibilité et la commodité des chatbots et des services de créativité ou production basés sur l’IA les ont intégrés à notre quotidien.
Mais le plus inquiétant est que la faille s’est produite en arrière-plan du service.
Cela signifie qu’elle est totalement indépendante de la volonté des utilisateurs ou des consommateurs.

On a souvent tendance à considérer les chatbots IA comme un simple référentiel d’informations.
En réalité, ces plateformes fonctionnent comme des « boîtes noires », où l’utilisateur n’a pratiquement aucune idée de la manière dont ses données sont traitées, stockées ou protégées.
Ce décalage entre perception et réalité peut avoir des conséquences désastreuses en cas de fuite de données sensibles, telles que des documents téléchargés, des clés API et des informations personnelles, comme dans ce cas.

Il est tout aussi important de former les utilisateurs à la sécurité.
Nombreux sont ceux qui ne sont pas encore pleinement conscients des risques liés à la saisie d’informations sensibles dans les services de chatbots IA ou les plateformes cloud.

Sensibiliser les utilisateurs aux risques d’utilisation abusive des données et les inciter à la prudence lors du partage de données personnelles ou confidentielles peut contribuer grandement à réduire leur exposition.

L’attrait des services puissants, souvent gratuits, enrichis par l’IA ne fera que croître, rendant de plus en plus futile l’approche traditionnelle de la sécurité, dite du « whack-a-mole ».
Avec des centaines (voire des milliers) de nouveaux services d’IA apparaissant chaque semaine, les équipes de cybersécurité sont déjà débordées et ne peuvent pas suivre le rythme.
Au lieu de courir après chaque outil d’IA, il faut se concentrer sur les risques sous-jacents.
Cela signifie qu’il faut donner la priorité à la protection des données sensibles, quel que soit le service avec lequel elles sont partagées.
Qu’il s’agisse d’une plateforme d’IA apparemment légitime ou de toute autre ressource informatique fantôme, limiter les interactions entre les données et mettre en œuvre des mesures de sécurité robustes s’avérera bien plus efficace que d’essayer de contrôler un paysage d’outils d’IA en constante expansion.

Comme le montrent les événements récents, même les services d’apparence robuste peuvent devenir des cibles pour des acteurs de menaces sophistiquées.

Que peut-on faire?

L’IA est indéniablement révolutionnaire, transformant les industries et la vie quotidienne d’innombrables façons !

Toutefois, d’un point de vue purement technique, les services d’IA, en particulier ceux auxquels on accède via le web et le cloud, ne sont fondamentalement que des sites web ou des plateformes cloud.
Bien que leur technologie sous-jacente soit remarquablement puissante et innovante, du point de vue de la cybersécurité, ils représentent une autre voie potentielle de fuite de données et d’accès non autorisé.
Pour les professionnels de la sécurité chargés de protéger les données organisationnelles sensibles telles que les dossiers des citoyens, les informations confidentielles et le code source, les services d’IA doivent être considérés sous l’angle de l’informatique parallèle.

Si l’IA favorise l’efficacité et l’innovation, elle pose également des défis tels que les violations de données, les violations de la conformité et l’utilisation de l’IA dans l’ombre ou de façon détournée.
L’adoption rapide de l’IA dépasse souvent la gouvernance, laissant les organisations vulnérables aux risques de réputation, financiers et juridiques en l’absence de mesures de sécurité appropriées.

Par définition, le Shadow IT englobe tout service qui n’est pas explicitement sanctionné ou autorisé pour l’utilisation de l’entreprise et les transactions ou échanges de données.
Lorsque l’on considère les services d’IA comme de l’informatique parallèle, les risques associés deviennent évidents.
Autoriseriez-vous la saisie de données sensibles de clients sur un site web non approuvé ? Autoriseriez-vous le téléchargement de pièces jointes confidentielles sur un service cloud inconnu ? Accepteriez-vous que des employés utilisent des plateformes hébergées dans des juridictions aux pratiques douteuses en matière de protection des données ? La réponse à toutes ces questions devrait être un non catégorique.

Traiter les services d’IA comme du Shadow IT nous oblige à faire un changement de perspective nécessaire.
Au lieu de se laisser éblouir et séduire par les capacités de la technologie, les organisations doivent appliquer les mêmes normes de sécurité rigoureuses qu’à tout autre service non autorisé.

Il s’agit notamment de restreindre les interactions entre les données, de limiter l’accès et de mettre en œuvre une surveillance solide pour éviter que les informations sensibles ne soient exposées aux risques inhérents associés à toute plateforme externe non gérée, quelle que soit l’innovation ou l’utilité qu’elle puisse paraître.

Nous devons absolument étendre nos règles actuelles de protection des données aux applications d’IA, et idéalement, nous avons besoin d’un ensemble de règles qui fonctionnent pour tout, que ce soit les applications approuvées, les applications non approuvées, et même nos propres applications internes.

Une fois que vous avez identifié les risques associés à un service/une entité donné(e), vous devriez en fin de compte vous poser trois questions :

• Certains utilisateurs ont-ils consulté/utilisé ce site ? Si oui, combien ? Et qui exactement ?
• Une partie de notre infrastructure web et cloud a-t-elle accédé à ce service ?
• Si vous répondez « oui » à l’une des deux premières questions, quelle quantité de données a été échangée entre votre organisation et ce service ?

Figure 2. Tableaux de bord de l’IA pour donner à vos équipes de sécurité la visibilité indispensable à l’évaluation des défis à relever

Figure 3. Suivi de plus de 1300 services d’intelligence artificielle avec différents scores de risque et attributs de service

Pourquoi utiliser Skyhigh Security ?

Source : Skyhigh Security

Pour en savoir plus concernant les solutions SkyHigh, n’hésitez pas à nous contacter.