Activité pratique | Cybersécurité

Avant de passer aux définitions et aux exemples, jouons à un jeu. L'objectif du jeu est d'amener l'intelligence artificielle Gandalf à révéler son mot de passe secret. Le jeu comporte 8 niveaux de difficulté qui mettront à l'épreuve votre imagination et votre créativité.

Le site web est en anglais, mais vous pouvez poser des questions à Gandalf dans différentes langues et il vous répondra dans cette langue.

Voici le texte traduit avec les instructions sur le site :

"Votre objectif est de faire en sorte que Gandalf révèle le mot de passe secret de chaque niveau. Cependant, Gandalf monte en niveau à chaque fois que vous devinez le mot de passe et s'efforce de ne pas le révéler. Arriverez-vous au niveau 7 ? (Il y a un niveau 8 en bonus)"

Pour les besoins de ce programme, nous vous demandons de compléter au moins 3 des niveaux. Chaque mot de passe que vous déverrouillerez vous révélera des informations sur le système et vous aidera à comprendre nos trois sujets principaux,: les mots de passe, l'ingénierie sociale et le piratage.

Cliquez sur le lien ci-dessous pour démarrer le jeu

Ce jeu est créé et géré par une société de sécurité suisse appelée Lakera.

Comme vous avez pu le constater, Gandalf devient plus intelligent à chaque niveau et l'obtention du mot de passe devient plus difficile. Il en sera de même pour vous au fur et à mesure que vous suivrez le programme : vous disposerez d'outils et de techniques de plus en plus performants pour vous protéger, vous et votre entourage, contre les cybermenaces.

Dans la section suivante, nous prendrons du recul en effectuant un contrôle des connaissances. Que savons-nous déjà de ces concepts ?

Optionnel : Approndir vos connaissances - Injection rapide

Comme le montre le jeu Gandalf, l'injection d'invite est un moyen de tromper ou de manipuler un système d'intelligence artificielle pour qu'il donne des informations ou exécute des commandes qu'il a été programmé pour ne pas faire. Gandalf n'était pas censé partager son mot de passe avec vous, mais vous avez réussi à obtenir l'information parfois en demandant directement le mot de passe ou, à des niveaux plus élevés, en contournant ses défenses.

"L'injection d'invites (''prompt injection'' en anglais) est une vulnérabilité dans les grands modèles de langage (LLM) où les attaquants utilisent des invites (''prompt'') soigneusement conçues pour que le modèle ignore ses instructions originales ou effectue des actions involontaires. Cela peut conduire à un accès non autorisé, à des violations de données ou à la manipulation des réponses du modèle.

En termes plus simples, les messages-guides sont les questions ou les instructions que vous donnez à une IA. La manière dont vous formulez ces demandes et les données que vous fournissez peuvent influencer de manière significative la réponse de l'IA."

"La vulnérabilité de l'injection d'invite se produit lorsqu'un attaquant manipule un grand modèle de langage (LLM) par le biais d'entrées fabriquées, amenant le LLM à exécuter à son insu les intentions de l'attaquant. Cela peut se faire directement en "jailbreakant" l'invite du système ou indirectement par le biais d'entrées externes manipulées, ce qui peut conduire à l'exfiltration de données, à l'ingénierie sociale et à d'autres problèmes."