L’intelligence artificielle qui transforme en profondeur le secteur du retail et de la vente en ligne, s’accompagne de risques majeurs pour les entreprises qui intègrent ces solutions sans précautions suffisantes.
Lors de son intervention au One to One Retail E-commerce de Monaco, Brice Augras, CEO de BZHunt et hacker éthique, a alerté sur les dangers liés à la sécurité numérique. Il a démontré comment des failles, parfois très simples à exploiter, peuvent gravement compromettre les plateformes de vente en ligne et a souligné que la précipitation à adopter de nouvelles technologies sans évaluation approfondie peut avoir des conséquences désastreuses.
Un hacker éthique au service de la cybersécurité
Dès le début de son intervention, Brice Augras tient à clarifier ce qu’est un hacker éthique. Contrairement aux cybercriminels, qui profitent des vulnérabilités informatiques à des fins malveillantes, les hackers éthiques mettent leurs compétences au service des entreprises pour tester leurs systèmes et détecter leurs failles. Sa société, BZHunt, s’est spécialisée dans les audits de sécurité, les tests d’intrusion et les bugs bounty, une méthode qui consiste à récompenser les découvertes de failles de sécurité. L’objectif est clair : identifier les faiblesses avant qu’elles ne soient exploitées par des individus mal intentionnés.
Depuis plusieurs années, les entreprises du e-commerce font face à une explosion des attaques ciblées. La gestion de données financières sensibles et la complexité croissante des tunnels d’achat en font des cibles de choix pour les cybercriminels. Plus les sites intègrent de nouvelles fonctionnalités, plus ils s’exposent à des vulnérabilités potentielles. Brice Augras illustre ce constat par des exemples concrets de failles détectées sur des plateformes bien connues.
Des failles omniprésentes dans le retail et l’e-commerce
Lorsqu’un cybercriminel cherche à compromettre un site e-commerce, il s’intéresse en priorité au tunnel d’achat. Cette étape critique du parcours client est devenue de plus en plus sophistiquée avec l’ajout de promotions, de programmes de fidélité ou encore de systèmes de parrainage. Pourtant, ces changements peuvent introduire des brèches exploitables par des individus malveillants.
«Chaque nouvelle fonctionnalité ajoutée à un tunnel d’achat peut introduire une faille exploitable. L’innovation ne doit jamais se faire au détriment de la sécurité», souligne ainsi Brice Augras.
Un cas frappant concerne une faille qui permettait de modifier le prix d’un produit dans le panier en détournant la fonctionnalité de négociation automatique. Un hacker a ainsi pu acquérir une télévision d’une valeur de 500 euros pour seulement 8,17 euros en manipulant les paramètres de la requête envoyée au serveur du site. Une autre faille, détectée sur un site d’abonnements à des salles de sport, permettait d’inverser le processus de paiement. En modifiant une valeur dans l’URL, un attaquant pouvait non seulement éviter de payer son forfait, mais se faire rembourser de l’argent sur son compte.
En outre, les cybercriminels exploitent également des failles liées à la gestion des stocks et aux systèmes de paiement. Sur certaines plateformes, il est possible de réserver une grande quantité de produits en appliquant une modification infime à la requête, ce qui entraîne une facturation dérisoire. L’absence de contrôles stricts sur ces transactions rend ces failles particulièrement dangereuses. Si un attaquant met en place un script automatisé, il peut répéter l’opération des centaines de fois en quelques minutes et causer des pertes financières considérables pour l’entreprise concernée.
L’intelligence artificielle, un levier pour les cybercriminels
Les agressions cyber traditionnelles continuent d’évoluer, mais l’essor de l’intelligence artificielle ajoute une nouvelle dimension à la menace. Depuis l’émergence de ChatGPT et d’autres services d’IA génératives, les attaquants développent des techniques inédites pour exploiter ces outils. Brice Augras souligne que l’IA n’est pas seulement utilisée pour améliorer les cyberattaques existantes, mais qu’elle peut aussi être compromise par des vulnérabilités internes.
«L’intelligence artificielle est déjà une arme numérique pour les cybercriminels. Ils l’emploient pour perfectionner leurs attaques et réduire leur coût d’exécution», indique-t-il.
Un cas particulièrement préoccupant concerne la mémoire des IA conversationnelles. Récemment, des chercheurs ont démontré qu’il était possible «d’empoisonner» la mémoire de ChatGPT en lui faisant analyser un site web contenant des instructions cachées. À l’insu de l’usager, l’IA enregistre ces directives et commence à divulguer toutes les informations contenues dans la conversation en les envoyant à un serveur distant. Une telle faille, si elle est exploitée à grande échelle, pourrait compromettre des échanges professionnels et confidentiels.
Une autre vulnérabilité, encore plus inquiétante, concerne Operator d’OpenAI. Cette nouvelle version de ChatGPT est conçue pour naviguer sur le web et exécuter des actions en ligne à la demande de l’utilisateur. L’idée est séduisante : réserver un hôtel, acheter un billet d’avion ou consulter des documents officiels directement depuis une interface conversationnelle. Cependant, cette innovation rend possible de nouvelles cyberattaques.
Des chercheurs en cybersécurité ont démontré qu’un attaquant pouvait exploiter une faille dans Operator pour prendre le contrôle du navigateur de l’utilisateur. En lui faisant visiter un site web malveillant, l’agresseur peut injecter des instructions qui donnent à l’IA l’ordre de récupérer des informations sensibles sur d’autres onglets ouverts, comme des identifiants de connexion ou des emails professionnels. Dans certains cas, il est même possible de forcer l’IA à exécuter des transactions bancaires ou à modifier des réservations de manière frauduleuse.
Ces attaques montrent que l’intelligence artificielle n’est pas uniquement un outil d’amélioration des services, mais aussi une cible privilégiée pour les cybercriminels. Les entreprises doivent donc être particulièrement vigilantes lorsqu’elles intègrent ces technologies dans leurs processus.
Brice Augras souligne : «nous avons recensé 75 types d’attaques spécifiques aux IA en seulement 6 mois. Le problème, c’est que les correctifs prennent parfois un an à être déployés.»
Vers une prise de conscience collective
Les entreprises du retail et de l’e-commerce ne peuvent plus ignorer ces enjeux de cybersécurité. Brice Augras insiste sur la nécessité d’adopter une approche rigoureuse avant d’implémenter de nouvelles technologies. Il ne suffit pas de suivre la tendance de l’IA et de la digitalisation sans considérer les risques associés. Chaque innovation doit faire l’objet d’un audit de sécurité approfondi et être testée dans un environnement contrôlé avant son déploiement à grande échelle.
Il est également essentiel de sensibiliser les employés et les clients aux bonnes pratiques en matière de cybersécurité. De nombreuses attaques reposent sur des erreurs humaines, comme la divulgation involontaire d’informations ou l’utilisation de mots de passe faibles. Une formation régulière et des campagnes de prévention peuvent contribuer à réduire ces risques.
Enfin, la coopération entre entreprises et experts en cybersécurité est indispensable. Les hackers éthiques, comme ceux de BZHunt, jouent un rôle clé dans la détection des failles et la protection des infrastructures numériques. Travailler avec eux permet d’anticiper les menaces et de renforcer la résilience des systèmes face aux cyberattaques.
L’intelligence artificielle et l’innovation technologique offrent des opportunités considérables, mais elles exigent également une vigilance accrue. Dans un monde où les cybermenaces évoluent constamment, la sécurité ne peut plus être une option, mais une priorité.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire