Les banques du monde entier sont-elles si inquiètes du dernier modèle d’IA d’Anthropic

Le légendaire braqueur de banques américain Willie Sutton a passé 40 ans à braquer des banques car, comme il l’affirmait dans son autobiographie , il adorait ça. Et lorsqu’on lui demandait pourquoi il choisissait les banques parmi tous les lieux à braquer, il aurait répondu : « Parce que c’est là que se trouve l’argent. »

En 2017, j’ai écrit un livre prédisant que ce ne seraient bientôt plus seulement des voyous sympathiques comme Sutton qui braqueraient des banques, mais aussi l’intelligence artificielle (IA).

Ce jour semble désormais imminent. Les banques du monde entier craignent sérieusement que les cybercriminels n’exploitent bientôt les dernières avancées en matière d’intelligence artificielle pour tenter de les escroquer.

La porte dérobée numérique vers le coffre-fort

Le monde de la finance est préoccupé par les impressionnantes capacités cybernétiques d’un produit appelé « Mythos ». Il s’agit du modèle d’IA le plus récent et le plus performant d’Anthropic, la société à l’origine du célèbre chatbot Claude.

En tant que membre du public, vous ne pouvez ni accéder à ce modèle ni l’utiliser – pour le moment. En effet, Anthropic (et bien d’autres) estiment que Mythos est trop puissant pour être déployé sur un monde sans méfiance.

Des tests internes menés chez Mythos ont révélé des milliers de failles de sécurité critiques dans tous les principaux systèmes d’exploitation et navigateurs web.

Certaines de ces vulnérabilités sont restées indétectées pendant des décennies. Nombre d’entre elles sont ce que les spécialistes du secteur appellent des vulnérabilités « zero day » : des attaques si dangereuses que les développeurs doivent les corriger dans un délai de zéro jour.

Non destiné à un usage public

Pour contrer cette menace émergente, Anthropic a mis son modèle à la disposition d’une douzaine de partenaires d’une coalition défensive qui comprend Microsoft, Amazon Web Services, Apple, Cisco et la Linux Foundation.

L’entreprise a également engagé 100 millions de dollars américains (environ 140 millions de dollars australiens) en crédits d’utilisation et 4 millions de dollars américains (environ 5,6 millions de dollars australiens) en subventions open-source pour commencer à trouver et à corriger ces bugs.

Par ailleurs, plus de 40 organisations supplémentaires, dont plusieurs banques américaines, ont également obtenu l’accès. Mais, fait inquiétant, à notre connaissance, Anthropic n’a encore accordé cet accès à aucune banque en Australie, au Royaume-Uni ou en Europe.

Pour ajouter aux inquiétudes, Anthropic a confirmé mercredi enquêter sur les allégations d’un article de Bloomberg selon lesquelles un petit groupe d’utilisateurs non autorisés aurait accédé à Mythos. Cependant, à ce stade, rien ne laisse penser que cet accès présumé ait été motivé par des intentions malveillantes.

Devriez-vous vous inquiéter ?

La semaine dernière, des régulateurs et des décideurs politiques du monde entier se sont réunis à Washington pour la réunion de printemps du Fonds monétaire international. La guerre en Iran a été au cœur des débats . Mais les participants ont également lancé une série de mises en garde concernant cette nouvelle menace de cybersécurité qui pèse sur le secteur bancaire.

Non seulement les banques constituent une cible attrayante, car elles sont l’endroit où se trouve l’argent, mais le secteur bancaire repose également sur de nombreux systèmes anciens, des technologies datant de plusieurs décennies qui peuvent être particulièrement vulnérables à ce type d’attaques.

Vous n’avez pas à vous inquiéter outre mesure. De nombreux pays offrent une protection solide aux clients des banques. En Australie, par exemple, les premiers 250 000 dollars australiens des dépôts d’un client sont assurés par le biais du système de garantie des dépôts financiers , soutenu par le gouvernement .

L’ASIC (Australian Securities and Investments Commission) veille à ce que les banques enquêtent sur les transactions frauduleuses et les remboursent lorsque le client n’est pas en faute.

Il n’est donc probablement pas judicieux de retirer son argent et de le cacher sous son matelas. Mais les banques devraient s’empresser (et s’empressent déjà) de corriger ces failles.

Je vous recommande de mettre à jour régulièrement votre ordinateur et votre smartphone afin de bénéficier des dernières versions du système d’exploitation et des applications bancaires. De nombreuses autres mises à jour seront probablement disponibles prochainement, à mesure que de nouvelles failles de sécurité seront découvertes et corrigées.

Et, comme vous l’avez sans doute déjà fait, vous devez rester vigilant face aux attaques d’hameçonnage par courriel et SMS visant à obtenir vos identifiants bancaires.

L’évolution du paysage des menaces

À plus long terme, Mythos met en lumière le fait que la défense est bien plus complexe que l’attaque. Les logiciels figurent parmi les produits les plus complexes que l’humanité conçoit. Il est donc quasiment impossible de garantir leur absence totale de bogues.

Cela nous engage dans une course sans fin contre les « méchants » pour découvrir et corriger les failles avant qu’elles ne soient exploitées.

Par exemple, l’Union européenne a lancé en grande pompe son application de vérification de l’âge , censée être la pierre angulaire des nouvelles lois encadrant l’accès aux réseaux sociaux, à la pornographie et aux autres contenus réservés aux adultes. Cependant, quelques heures plus tard, des experts en sécurité ont découvert des failles de sécurité que les mineurs pourraient facilement exploiter.

Dans les situations les plus critiques, nous pouvons tenter de prouver mathématiquement que notre logiciel est exempt de bogues. Par exemple, la Beneficial AI Foundation vient d’annoncer un projet ambitieux visant à démontrer que l’application de messagerie populaire Signal est exempte de bogues et protège la vie privée comme annoncé.

Mais de tels efforts restent aujourd’hui l’exception plutôt que la règle. Peut-être que de nouveaux progrès en intelligence artificielle permettront bientôt d’inverser cette tendance.

Toby Walsh

Professeur d’IA, chef de groupe de recherche, UNSW Sydney