« Entre les attaquants et les défenseurs, c’est le jeu du chat et de la souris ». Pour Matthieu Bonenfant, Directeur Marketing chez Stormshield, impossible de prédire si le big data et l’intelligence artificielle (IA) vont durablement changer le rapport de force en termes de cybersécurité. Attaquants comme défenseurs rivalisent d’imagination pour prendre l’avantage dans l’utilisation de la donnée. Et ce petit jeu vient juste de commencer.
Hackers et marketeurs, même combat ?
Dans de nombreux hacks offensifs, le big data sert aujourd’hui à affiner des techniques classiques. « Les pirates informatiques réfléchissent comme des marketeurs pour fixer le prix d’une rançon au sein d’un ransomware », raconte Matthieu Bonenfant. En effet, le pirate cherche à maximiser son profit, mais si le prix de la rançon est trop élevé, la victime va refuser de payer ou appeler la police.
« Ils sont plus pertinents s’ils disposent de données pour mieux connaître leur cible », poursuit le directeur marketing. Pour cela, les attaquants font appel à l'ingénierie sociale. Grâce à des programmes dédiés, ils analysent les informations open source d’une personne. Les réseaux sociaux se muent alors en mines d’or, et les données personnelles deviennent des failles. Qui n’a jamais utilisé un mot de passe inspiré d’une date d’anniversaire, du nom de son chat ou de ses proches ?
L'ingénierie sociale sert également au spear phishing. Grâce à leurs données personnelles, les pirates profilent les utilisateurs et leur envoient des messages personnalisés. Tout comme un bon logiciel de marketing. « Une IA permettrait ici de voir des liens que l’humain ne verrait pas, et d’aller plus vite pour tester des combinaisons », précise Matthieu Bonenfant.
Enfin, à l’époque de l’avènement des chatbots dans le monde du marketing, l’expert imagine une autre utilité malveillante : « On pourrait inventer des chatbots malicieux et mettre en place une conversation fictive, automatisée, avec la victime pour diminuer son niveau de vigilance. » Sans parler du risque que de vrais robots soient attaqués et que les conversations soient interceptées. Pour l’éviter, les messages doivent être chiffrés et leur stockage sécurisé, avant leur suppression à un horizon de temps défini.
Intelligence artificielle : buzzword ou réelle opportunité ?
Outre ces usages proches du marketing, l’intelligence artificielle suscite beaucoup de passion dans le cyber espace. Mais il faut casser un mythe : celui de malwares surpuissants, gorgés d’intelligence artificielle et sachant déjouer tous les systèmes de protection informatique. « À l’heure actuelle et en l’état de nos connaissances, on n’a encore jamais vu un programme malveillant utilisant directement de l'IA », assure Paul Fariello, Security Researcher chez Stormshield.
Les seuls exemples d’intelligence artificielle connues pour avoir attaqué à elles seules un système d’informations sont académiques. Comme en 2016, à Las Vegas, où pour la première fois, sept intelligences artificielles se sont affrontées dans le DARPA Cyber Grand Challenge.
Pour l’heure, « les trucs classiques marchent très bien, déplore Paul Fariello. Les gens se font toujours avoir par des techniques de base, comme le phishing. Le phishing, c'est comme le téléachat, il suffit qu’une ou deux personnes “achètent”, et l’opération est rentable. Alors quelle utilité de développer des programmes coûteux intégrant de l’IA ? » De ce point de vue, la meilleure défense reste encore la formation des équipes. En attendant l’investissement massif d’un État dans un programme d’attaque dopé à l’intelligence artificielle ?
L’intelligence artificielle joue mieux en défense
Du côté des outils de défense informatique, l’intelligence artificielle trouve en revanche des usages plus directs. Associée au big data, elle sert à analyser un grand nombre de fichiers au comportement suspect, pour identifier clairement les fichiers réellement malveillants. « Le but, c'est d'avoir un nombre constant d’analystes pour traiter un nombre exponentiel de données », explique Paul Fariello. Grâce à ces analyses fines, les patchs et correctifs développés laissent aux pirates moins de chance de surprendre totalement un RSSI. Et le risque de faire face à une faille Zero Day diminue. Pour faire face à un nombre croissant de vulnérabilités signalées, le National Institute of Standards and Technology (NIST) s'est associé tout début novembre avec IBM et à la plus connue des intelligences artificielles : Watson. Sa mission : attribuer un scoring aux CVE (Common Vulnerabilities and Exposures) relevées.
NIST Teams Up with @IBM's #Watson to Rate How Dangerous Computer Bugs Are. The artificial intelligence program will replace tedious work done by human analysts https://t.co/4FQHbPWfbB #GovTech #AI @usnistgov via @Nextgov
— Bill Mew (@BillMew) 3 novembre 2018
Pour capitaliser sur cette data, Stormshield a ainsi développé Breach Fighter, une solution de sandboxing dans le cloud. Son portail en accès libre permet de soumettre un fichier suspect à des analyses plus poussées. Avec cette solution, toutes les données sur tous les malwares détectés sont centralisées. « On a alors une meilleure visibilité sur la menace, complète Matthieu Bonenfant. On identifie de nouvelles techniques malicieuses et on développe de meilleures protections. Alors qu’avant, les informations sur les malwares restaient souvent chez les clients. » Mais l’intelligence artificielle en défense ne peut se passer d’humain. C’est un paradoxe : en sécurité informatique, son utilité dépend fortement de son interaction avec l’homme. Alors qu’ailleurs, au sein des voitures autonomes ou au jeu de go par exemple, l’intelligence artificielle se montre beaucoup plus autonome.
« L’IA ne garantit pas un résultat, explique Paul Fariello. Elle ne décrit rien elle-même de base. Elle donne une probabilité qu’un fichier se rattache à un comportement déjà décrit par un humain comme étant sain ou malveillant. Et elle a parfois du mal à faire la différence. Prenons l’exemple d’un malware qui vole la puissance de calcul d’un ordinateur pour faire du mining de crypto monnaies. Son comportement ressemble beaucoup à celui d’un authentique logiciel de mining de crypto monnaies, installé à dessein par un humain. » Dans un tout autre domaine, mais tout aussi révélateur des limites actuelles de discernement de l’intelligence artificielle, Amazon a dû mettre fin à son programme interne développé pour faciliter les recrutements, après des discriminations sexistes.
À l’instar des armes des attaquants, récupérer de très grands volumes d’informations devient donc une nécessité absolue pour améliorer les protections des défenseurs. Pour le chat comme pour la souris, la course à la collecte de données ne fait que commencer.