Les chatbots existent depuis longtemps et, en fonction de la taille du marché mondial des chatbots (et de la croissance attendue), ils resteront longtemps et gagneront en importance. Dans le passé, ils ont rarement répondu aux attentes des clients ou offert une expérience très positive. Cependant, au cours des dernières années, les progrès de l’IA conversationnelle ont transformé la façon dont elle peut être utilisée. Étant donné que les chatbots offrent un large éventail d’applications, dans certains cas, ils deviennent également responsables de la collecte et de la protection des informations personnelles. Par conséquent, ils constituent également une grande attraction pour les pirates informatiques et les attaques malveillantes. La responsabilité d’assurer la sécurité des chatbots est devenue plus prononcée après l’introduction du RGPD en Europe. Alors que les statistiques montrent que cette technologie sera déterminante dans nos vies, les tests de sécurité doivent également faire partie de nos tâches quotidiennes, afin que ces chatbots puissent être utilisés en toute confiance.
Les mots risque, menace ainsi que vulnérabilité sont souvent confondus ou utilisés de manière interchangeable lors de la lecture sur la sécurité informatique, clarifions donc d'abord la terminologie :
- Vulnérabilité fait référence à une faiblesse de votre logiciel (ou matériel, ou de vos processus, ou tout ce qui s'y rapporte). En d’autres termes, c’est un manière les pirates pourraient s’introduire dans vos systèmes et les exploiter.
- A menace exploite une vulnérabilité et peut provoquer la perte, l’endommagement ou la destruction d’un actif — les menaces exploitent les vulnérabilités
- Analyse fait référence au potentiel de perte, d'endommagement ou de destruction d'actifs - menaces + vulnérabilité = risque!
Le bien-connu OWASP Top 10 est une liste des principaux risques de sécurité pour une application Web. La plupart des chatbots sont disponibles sur une interface Web publique et, en tant que tels, tous les risques de sécurité de l'OWASP s'appliquent également à ces chatbots. Parmi ces risques, il y en a deux particulièrement importants contre lesquels il faut se défendre, car contrairement aux autres risques, ces deux constituent presque toujours une menace sérieuse : XSS (Cross Site Scripting) et injection SQL.
De plus, pour les chatbots dotés de l’intelligence artificielle, il existe un risque accru de Déni de service attaques, en raison de la quantité plus élevée de ressources informatiques impliquées.
1. Comment l'IA conversationnelle peut automatiser le service client
2. Chats automatisés ou en direct : à quoi ressemblera l'avenir du service client ?
3. Les chatbots en tant qu'assistants médicaux dans la pandémie de COVID-19
Une implémentation typique d'une interface utilisateur de chatbot :
- Il y a une fenêtre de discussion avec une zone de saisie
- Tout ce que l'utilisateur entre dans la zone de saisie est reflété dans la fenêtre de discussion
- La réponse du chatbot est affichée dans la fenêtre de discussion
La vulnérabilité XSS se situe dans la deuxième étape : lors de la saisie de texte comprenant du code Javascript malveillant, l'attaque XSS est exécutée lorsque le navigateur Web exécute le code injecté :
alert(document.cookie)
Vecteur d'attaque possible
Pour exploiter une vulnérabilité XSS, l'attaquant doit tromper la victime pour qu'elle envoie un texte d'entrée malveillant.
- L'attaquant incite la victime à cliquer sur un lien hypertexte pointant vers le chatbot incluant du code malveillant dans le lien hypertexte.
- Le code malveillant est injecté dans le site Web, lit les cookies de la victime et l'envoie à l'attaquant sans même que la victime ne s'en aperçoive.
- L'attaquant peut utiliser ces cookies pour accéder au compte de la victime sur le site Web de l'entreprise
Défense
Cette vulnérabilité est en fait facile à défendre en validant et en nettoyant les entrées des utilisateurs, mais nous constatons néanmoins que cela se produit encore et encore.
Une implémentation typique d'un backend de chatbot orienté tâches :
- L'utilisateur indique au chatbot un élément d'information
- Le backend du chatbot interroge une source de données pour cet élément d'information
- Sur la base du résultat, une réponse en langage naturel est générée et présentée à l'utilisateur
Avec l'injection SQL, l'attaquant trompe le backend du chatbot pour qu'il considère le contenu malveillant comme faisant partie de l'élément d'information :
mon numéro de commande est « 1234 ; SUPPRIMER DES COMMANDES »
Vecteur d'attaque de chatbot possible
Lorsque l'attaquant dispose d'un accès personnel au chatbot, une injection SQL est exploitable directement par l'attaquant (voir exemple ci-dessus), effectuant toutes sortes de requêtes SQL (ou no-SQL).
Défense
Les développeurs font généralement confiance à leurs tokeniseurs et extracteurs d’entités pour se défendre contre les attaques par injection. De plus, de simples vérifications d’expressions régulières des entrées de l’utilisateur permettront dans la plupart des cas de supprimer cette vulnérabilité.
L’intelligence artificielle nécessite une puissance de calcul élevée, en particulier lorsqu’elle implique un apprentissage profond, comme les algorithmes de pointe de compréhension du langage naturel (NLU). L'attaque par déni de service (DoS) se concentre sur rendre une ressource indisponible pour le but pour lequel ils ont été conçus, et il n'est pas difficile d'imaginer que les chatbots sont plus vulnérables aux attaques par déni de service (DoS) que les backends habituels basés sur des systèmes de bases de données hautement optimisés. Si un chatbot reçoit un très grand nombre de requêtes, il peut cesser d'être disponible pour les utilisateurs légitimes. Ces attaques introduisent des délais de réponse importants, des pertes excessives et des interruptions de service, ayant un impact direct sur la disponibilité.
Vecteur d'attaque de chatbot possible
Une attaque DoS typique envoie un grand nombre de requêtes volumineuses au chatbot pour épuiser intentionnellement les ressources disponibles. Il arrivera que le des ressources de calcul ne sont plus disponibles pour les utilisateurs légitimes.
Mais il y a un risque supplémentaire à prendre en compte : il est assez courant que les développeurs de chatbots utilisent services basés sur le cloud comme IBM Watson ou Google Dialogflow. Selon le forfait choisi, il existe des limites d'utilisation et/ou des quotas en vigueur qui peuvent être épuisé assez rapidement — par exemple, le Google Dialogflow Essential limites du forfait gratuit accès à 180 requêtes par minute, toutes les autres requêtes seront refusées. Pour un forfait basé sur l’utilisation et sans aucune limite, une attaque DoS peut facilement coûter une fortune en raison du nombre croissant de requêtes.
Défense
Les méthodes établies pour se défendre contre les attaques par déni de service s’appliquent également aux chatbots.
Outre les stratégies de défense ci-dessus, il existe des règles génériques pour atténuer les risques de violations du système.
Naturellement, la meilleure façon de se défendre contre les vulnérabilités est de je ne les laisse même pas se produire en premier lieu. Les développeurs de logiciels doivent suivre une formation spéciale pour considérer la sécurité du système dans le cadre de leur routine de développement quotidienne. L'établissement de l'état d'esprit et des processus au sein de l'équipe de développement est la première et la plus importante étape.
Les tests de sécurité doivent faire partie de votre pipeline de tests continus. Plus tôt dans la chronologie de la publication, une vulnérabilité de sécurité est identifiée et corrigée, moins cher est le prix à payer.
Les tests de base basés sur l'OWASP Top 10 doivent être effectués au niveau de l'API ainsi qu'au niveau End-2-End. En règle générale, la défense contre les injections SQL est mieux testée au niveau de l'API (en raison de la vitesse), tandis que la défense contre XSS est mieux testée au niveau End-2-End (en raison de l'exécution de Javascript).
Des outils spécialisés comme Botium vous aider à mettre en place votre pipeline de tests de sécurité continus pour les chatbots.
Les chatbots ouvrent le même type de vulnérabilités, de menaces et de risques que les autres applications Web destinées aux clients. En raison de la nature des chatbots, certaines vulnérabilités sont plus probables que d’autres, mais les stratégies de défense bien établies fonctionneront pour les chatbots.
- &
- 2022
- Qui sommes-nous
- accès
- Compte
- ajout
- Supplémentaire
- AI
- algorithmes
- Tous
- api
- Application
- applications
- autour
- artificiel
- intelligence artificielle
- atout
- Outils
- Assistante gérante
- Attaques
- Automatisation
- disponibilité
- disponibles
- LES MEILLEURS
- Box
- infractions
- navigateur
- les soins
- cas
- Causes
- Chatbot
- Chatbots
- Contrôles
- code
- Collecte
- Commun
- Société
- Sécurité Informatique
- informatique
- Puissance de calcul
- confiance
- contenu
- continu
- gâteau
- biscuits
- pourriez
- COVID-19
- Service à la clientèle
- DA
- données
- Base de données
- l'apprentissage en profondeur
- Défense
- retards
- Déni de service
- détruit
- détermination
- mobiles
- Développement
- boîte de dialogue
- DX
- même
- effet
- Entre dans
- notamment
- établies
- EU
- Europe
- EV
- exemple
- exécution
- Découvrez
- Exploiter
- EY
- Prénom
- concentré
- suivre
- avenir
- RGPD
- Global
- l'
- Croissance
- les pirates
- Matériel
- aider
- Haute
- Comment
- HP
- hr
- HTTPS
- ia
- IBM
- IBM Watson
- Impact
- important
- Y compris
- increased
- d'information
- Intelligence
- Intelligent
- impliqué
- IT
- JavaScript
- Kx
- langue
- gros
- apprentissage
- Niveau
- Liste
- Location
- LP
- Marché
- médical
- moyenne
- PLUS
- (en fait, presque toutes)
- Langage naturel
- Compréhension du langage naturel
- Nature
- nlu
- code
- ouvert
- de commander
- Autre
- Autres
- personnel
- power
- assez
- les process
- public
- gamme
- en cours
- libérer
- ressource
- Ressources
- réponse
- Analyse
- pour le running
- sécurité
- les tests de sécurité
- mise
- étapes
- Taille
- So
- Logiciels
- vitesse
- SQL
- Injection SQL
- statistiques
- combustion propre
- Système
- Technologie
- raconte
- Essais
- tests
- El futuro
- des menaces
- fiable
- les outils
- top
- Formation
- La confiance
- utilisateurs
- Salle de conférence virtuelle
- assistant virtuel
- vulnérabilités
- vulnérabilité
- Vulnérable
- Watson
- web
- Applications Web
- navigateur web
- Site Web
- Quoi
- sans
- des mots
- Activités principales
- XSS
- Vulnérabilité XSS
- années