Cybersécurité en 2025 : l’émergence des LLM comme nouvelles menaces et la montée des services de vérification d’identité

novembre 2024 par Len Noe, biohacker chez CyberArk

Alors que l’année 2024 touche à sa fin, elle a été marquée par l’installation à long terme de l’Intelligence Artificielle (IA), notamment générative. Or, cette utilisation généralisée de nouveaux outils entraîne des attaques différentes telles que la résurgence des attaques de type APT, une banalisation des deepfakes et une popularisation des services de vérification d’identité avancée. Pour 2025 et les années à venir, les entreprises devront donc s’adapter. A cette occasion, Len Noe, biohacker chez CyberArk, révèle ses prédictions sur les tendances en cybersécurité pour 2025.

« Les Large Language Models (LLM) deviendront le nouvel APT (Advanced Persistent Threat) à mesure que les États-nations et même les acteurs malveillants les exploiteront pour mener des cyberattaques. Les LLM d’aujourd’hui sont vulnérables aux jailbreaks et aux manipulations de prompts, mais la sortie de HackerGPT, ou WhiteRabbitNeo, un outil open source conçu pour être utilisé par des équipes d’hackers éthiques, permet à n’importe qui d’accéder à la puissance d’un LLM qui n’a pas les garde-fous des autres. Il sera capable de créer une preuve de concept pour une toute nouvelle vulnérabilité critique lorsqu’on lui en donnera l’instruction. L’évolution de la technologie et la disponibilité de nouveaux outils comme celui-ci mèneront à de nouveaux vecteurs d’attaque et méthodologies à une échelle jamais vue auparavant. Le délai entre la découverte de nouvelles vulnérabilités et la mise sur le marché du code d’exploitation diminuera considérablement.

De plus, à mesure que les deepfakes se généralisent, nous verrons apparaître des startups en 2025 offrant des services de vérification d’identité en tant que service. Ces services iront au-delà de l’authentification multifactorielle en ajoutant des couches supplémentaires. Ils utiliseront une combinaison de documents officiels tels que les passeports, de données biométriques comme les signatures, les empreintes digitales et les scans faciaux, ainsi que l’analyse des comportements pour examiner comment un utilisateur interagit avec un appareil ou un site web, afin de vérifier que les individus sont bien ceux qu’ils prétendent être pour toutes sortes de transactions et d’interactions en ligne. Cela deviendra éventuellement nécessaire pour toutes les transactions numériques, comme l’achat d’une maison ou la souscription d’un prêt, ainsi que pour les communications en ligne, telles que la participation à une visioconférence. Nous verrons finalement ce modèle utilisé pour valider les identités lors de transactions physiques également, à mesure que les frontières entre les activités en ligne et hors ligne s’estompent. Nous ne sommes pas loin de voir des puces implantées dans les mains et ailleurs être utilisées comme un des facteurs multifactoriels pour l’authentification lors des transactions en personne. »