Cybercriminalité ! Attachez vos ceintures, l’intelligence artificielle devrait bientôt décupler la gravité des cyberattaques

L'impact des cyberattaques incontrôlées devient de plus en plus coûteux. 

L'intelligence artificielle pourrait décupler la gravité des attaques.


© odenkoff / Shutterstock / DR

Cybercriminalité !
Attachez vos ceintures, l’intelligence artificielle devrait bientôt décupler la gravité des cyberattaques

L’IA pourrait-elle révolutionner à terme la Cyberdéfense ? 

Permettra-t-elle des cyberattaques encore plus dévastatrices, ou révolutionnera-t-elle les moyens de cyberdéfense ? 

L'examen des opérations fournit quelques indices sur la façon dont l'intégration du cyber et de l'IA peut évoluer.

Par Franck DeCloquement

Comme le rappelle la publication Foreign Affairs, une augmentation spectaculaire des attaques par ransomware a été constatée cette année. Elles ont visé des infrastructures nationales et compromis les données de centaines d’entreprises et d'organismes gouvernementaux à travers le monde. L’attaque informatique sur le logiciel « SolarWinds Orion » n'a pas été découverte pendant de très longs mois consécutifs. Dès lors, serions-nous entrés de plain-pied dans une nouvelle ère de brèches informatiques que nous serions en réalité peu capables d’endiguer aisément ?

Franck DeCloquement : Foreign Affair rappelle en effet dans ses colonnes que 2021 fut une année funeste pour les opérations de cyberdéfense américaines. L'impact des cyberattaques incontrôlées devient de plus en plus coûteux, et nombreux sont ceux qui estiment que les États-Unis devraient promptement explorer les possibilités de l'IA pour améliorer sa cyberdéfense afin de mieux protéger les fournisseurs d'infrastructures critiques, mais aussi les structures étatiques. 

D’autant qu’une augmentation spectaculaire des attaques de ransomwares a en outre ciblé des infrastructures aussi critiques que le « Colonial Pipeline » – qui a été fermé pendant six jours en mai, perturbant l'approvisionnement en carburant de 17 États – et a interrompu le bon fonctionnement de milliers d'écoles à travers les Etats-Unis, mais aussi d'entreprises et d'hôpitaux américains. 

À ce jour, il y a de surcroit peu de raisons de croire que les ennemis stratégiques des Etats-Unis ne se tourneront pas à l’avenir vers des formes d’attaques « augmentées » par le truchement de l'IA. L’Amérique est donc engagée dans cette voie d’amélioration pour s'assurer que ses moyens de défense y gagneront en efficacité.

À Lire Aussi
Pourquoi il devient urgent de sauver nos démocraties de la technologie

De nombreuses applications logicielles, et les systèmes d'exploitation en particulier, contiennent des millions de lignes de code. Ce qui rend particulièrement difficile la détection de chaque vulnérabilité potentielle. Le piratage du logiciel « SolarWinds Orion », qui a compromis les données de centaines d’entreprises et agences gouvernementales n'a, en effet, été découvert que huit mois plus tard. 

Et cela a aussi démontré sans ambages que même les organisations les mieux dotées en matière de cybersécurité demeurent encore beaucoup trop vulnérables face aux actions offensives menées par des acteurs internationaux malveillants, mais aussi parfaitement déterminés. Les techniques automatisées de détection algorithmique pourraient en effet aider, de la même manière que les vérificateurs d'orthographe et de grammaire peuvent aider un écrivain à trouver et corriger ses erreurs dans un très long texte rédigé. Mais invariablement, une personne humaine qualifiée – le plus souvent un relecteur – doit analyser et réviser à la suite chaque phrase écrite.

Ce qui ne s'est encore produit à aucune échelle, c'est l'application de techniques d'IA pour supprimer une partie de la charge de travail cognitive nécessaire, afin d’améliorer les capacités humaines existantes ou requises pour cette tâche. 

Car aussi impressionnantes que soient ces nouvelles applications permises par l'IA, rien ne garantit pourtant qu'il sera possible de réellement développer très rapidement des agents algorithmiques de cyberdéfense « autonomes » et « omniscients ». 

Des outils potentiellement puissants sur le papier se sont pourtant avérés difficiles à mettre en œuvre dans l'ensemble des taches liées à la cybersécurité : identification des menaces, protection, détection, réponse et récupération. 

Au lieu de cela, ils ont été appliqués plus étroitement à des tâches spécifiques, telles que la détection d'intrusion. Cependant, le potentiel qu’offrent ces technologies novatrices est trop important pour être ignoré. Tout particulièrement, l’occurrence d’une menace que pourrait causer des « cyber-agents autonomes » si elle était pleinement réalisée un jour prochain. 

Des agents parcourant un réseau pour y trouver des faiblesses, puis y lancer des attaques dévastatrices. Théoriquement, des pirates pourraient lancer de surcroit des milliers d’agents à la fois, causant des ravages inestimables sur les infrastructures des entreprises critiques visées, ou des opérateurs d’importance vitale. 

Cette perspective funeste n’est pas acceptable. Ces cyber-agents offensifs évoqués ne dépendraient plus d'un ensemble d'instructions explicites et préprogrammées pour guider leur activité. Au lieu de cela, ils seraient en mesure d'ajuster leurs opérations en temps réel, sans intervention humaine supplémentaire, en fonction des conditions et des opportunités qu'ils rencontrent sur le terrain. En théorie, ces agents pourraient se voir attribuer un objectif sans qu'on leur dise comment l'atteindre.

À Lire Aussi
La probabilité de cyber attaques sur nos armements est élevée : sommes-nous suffisamment préparés ?

 
Les cybercriminels qui mènent ces actions offensives n'utiliseraient pas encore, ou très peu, le potentiel qu’offre l’IA. Si les attaques traditionnelles commençaient à perdre de leur efficacité, pouvons-nous nous attendre rapidement à intensification des cyberattaques augmentée par le truchement de l’IA ? Cela se traduira-t-il nécessairement une augmentation de la fréquence de ces attaques ? Nos traditionnels pirates pourraient-ils alors disparaître au profit de l’IA ?

Franck DeCloquement : Des cyber-agents autonomes qui parcourraient les réseaux, et lanceraient d’initiatives des attaques intelligentes seraient naturellement dévastateurs si cela advenait. Très schématiquement, tous les secteurs stratégiques ou les conflits font rage entre nations rivales, ennemis ou concurrentes, font évidemment l’objet d’attaques informatiques malveillantes. 

Et dans ce contexte délétère de tension géopolitique, alors même que les équipes hétéroclites de cybercriminels informatiques agissent sans vergogne à travers le monde (parrainés par des États faillis, ennemis ou concurrents), elles n'ont pourtant pas encore adopté les potentialités qu’offre l'intelligence artificielle. 

Alors même que ces capacités sont pourtant accessibles, avec très peu de restrictions corrélatives. Mais si les cyberattaques traditionnelles venaient à perdre de leur efficacité aux yeux des pirates, ceux-ci n'hésiteraient naturellement pas à déployer promptement de nouvelles méthodes beaucoup plus compatibles avec les nouvelles ressources algorithmiques qu’offre l'IA. 

Et ceci, dans le but évident de restaurer au plus vite leur avantage « concurrentiel », et leur initiative d’attaque sur l’adversité. Cela nous permet aussi d’entrevoir que dans un futur très proche, les pires scénarios d’attaques adverses sont envisageables, avec un niveau d’intensité sans précédent en matière de vitesse d’action et d’efficacité criminelle.

À Lire Aussi
L’espionnage des Européens par la NSA dépasse en volume tout ce que l’on peut imaginer et rien ni personne ne s’y oppose

On peut d’ores et déjà constater que les cyberattaques ayant causé le plus de dommages ces dernières années, telles que « NotPetya » en 2017, ont très tôt incorporé des techniques « automatisées ». Ces approches reposent sur des techniques normatives basées sur des règles, et n'ont pas la capacité de s’ajuster à la volée. Mais elles peuvent néanmoins être considérées comme précurseurs d'approches futures entièrement automatisées. Les techniques actuelles de piratage sont déjà très efficaces, et l'ajout détonant de l'IA au mélange classique pourrait être actuellement perçu comme une complication inutile. Et bien que l’ensemble de compétences requises en matière d'IA et de Cyber se chevauchent dans une certaine mesure, celles-ci sont cependant suffisamment distinctes pour qu'une expertise supplémentaire soit nécessaire pour créer et intégrer des techniques d'IA, à des fins de cyber piratage.

A contrario, si les moyens de la cyberdéfense mis en œuvre par les défenseurs s’amélioraient suffisamment, de nouvelles approches obligeraient sans doute les attaquants à explorer de nouvelles modalités d’actions intrusives. Un individu ou une organisation pourrait par exemple développer des cyber-outils simples d’utilisation – mais augmentés par l'IA – réduisant le coût et le niveau d'expertise requis, pour les appliquer avec succès contre une cible. Il existe d’ailleurs un précédent : certains pirates, après avoir découvert une vulnérabilité, publient parfois un code de preuve de concept qui est rapidement militarisé, puis prestement diffusé au sein de la communauté des pirates. Compte tenu de la nature ouverte de la recherche sur l'IA, il n'y aurait pas grand-chose à faire afin d’empêcher une diffusion similaire d'outils de cyberattaque, améliorés par l'IA.


Du côté des défenseurs, le « machine learning » profite d’ores et déjà aux tâches de cybersécurité spécifiques. L'un des points forts de « l'apprentissage automatique » est sa capacité à reconnaître des modèles existant dans de très grands ensembles de données hétérogènes. Des algorithmes similaires à ceux qui classent les objets ou recommandent les achats en ligne peuvent être utilisés pour détecter les activités suspectes sur les réseaux. 

L'application des techniques d'apprentissage automatique aux systèmes traditionnels de détection d'intrusions a sans doute déjà permis de déjouer de nombreuses attaques. Pour des tâches beaucoup plus banales de détection de courriels indésirables, par exemple, l'apprentissage automatique a offert des améliorations qualitatives substantielles. 

Plus récemment, des algorithmes de reconnaissance faciale d'apprentissage en profondeur ont permis par exemple l'authentification des utilisateurs sur leurs propres appareils mobiles, atténuant sensiblement par la même les problèmes de cybersécurité identifiés de longue date, comme le choix de mots de passe peu robustes, ou de numéros d'authentification personnels très faibles.
S’il est possible d’utiliser l’IA pour pirater un système informatique, pouvons-nous de la même façon l’utiliser, a contrario, pour protéger nos systèmes d’information ? Est-ce une solution de réponse viable ? Devons-nous dès à présent investir dans la création d’outils plus adaptés pour répondre à de nouveaux types de problèmes, en matière de sécurité informatique ?

Franck DeCloquement : Les cyberattaquants ne sont en effet pas les seules à pouvoir bénéficier des apports de l’intelligence artificielle pour mener à bien leurs différents forfaits criminels. L'apprentissage automatique et bien d'autres ressources qu’offre l'IA commencent également à renforcer les moyens dont disposent les experts de la cyberdéfense, mais peut-être pas encore à l'échelle nécessaire pour modifier l'avantage « concurrentiel » dont disposent toujours les agresseurs à ce jour. Mais il existe de bonnes raisons d'espérer que l'IA changera la donne au bénéfice des « Good Guys » en action de défense, dans la préservation de nos infrastructures et de nos écosystèmes cyber. Alors que l'attaque et la défense s'efforcent toutes les deux de tirer le meilleur de l’'IA, la question qui demeure est de savoir – en définitive – lequel des deux camps parviendra à en profiter le plus ?

Parmi ces cyberattaques, le cas des rançongiciels est particulièrement intéressant à explorer, pour juger sur pièce la capacité véritable qu’à l’IA à les contrer et à les endiguer. D’autant qu’ils connaissent une véritable explosion depuis le début de la crise sanitaire : les entreprises, les organisations publiques et les associations ont dû s’adapter très rapidement, et déployer massivement des outils digitaux de contre-mesures, leur permettant d’assurer la continuité de leurs activités. Dans le même temps, ces organisations ont aussi dû faire face à une véritable explosion du nombre de cyberattaques. D’après l’ANSSI, l’Autorité Nationale de la Sécurité des Systèmes d’Information, le nombre de cyberattaques en France a été multiplié par quatre en 2020 et leur sophistication est de plus en plus élevée. Ce chiffre s’explique en partie par le manque criant de sensibilisation aux risques cyber, l’absence de maîtrise des systèmes d’information, le non-respect des mesures d’hygiène informatique de base, la pénurie d’experts en cybersécurité et, dans une certaine mesure, l’augmentation de la surface d’attaque du fait de la généralisation du télétravail. Autant de faiblesses en mesure d’être exploitées par les cybercriminels en quête de forfaits digitaux.

Les ransomware sont en définitive des logiciels malveillants qui bloquent l’accès à un ordinateur ou à des fichiers en les chiffrant, et qui réclament ensuite à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Les organisations publiques et les entreprises françaises sont de plus en plus souvent victimes de ce type d’attaque. Selon l’ANSSI, celles-ci ont augmenté de 255% en seulement un an, et représentent désormais la première menace pour les entreprises et les organisations publiques dans l’hexagone. De très nombreux secteurs d’activité ont été touchés par les rançongiciels en France en 2020. À l’image des attaques sur les centres hospitaliers de Dax et de Villefranche-sur-Saône, qui nous ont nettement démontré la criticité de ce type de menace, avec des conséquences très importantes sur les soins et le suivi des patients hospitalisés que cela représente. 

Ces cyberattaques frappent aussi très durement le monde de l’entreprise, allant même jusqu’à générer de conséquentes pertes de chiffre d’affaires, et de nombreuses perturbations dans les systèmes de production des entreprises. 

À titre d’exemple, les pertes subies par Sopra Steria, victime de « Ryuk » en octobre 2020, ont été estimées à environ 50 millions d’euros. Ce phénomène touche toutes les entreprises, quelle que soit leur taille et leur secteur d’activité, puisque selon la sixième édition du baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), 20% des grandes entreprises françaises ont été victimes en 2020 de rançongiciels, et 30% d’entre elles emploient au moins 5000 salariés. Sachant que ces chiffres sont sans doute sous évalués, cela nous permet néanmoins de mesurer l’ampleur du phénomène. 

En 2020, de grands groupes industriels français se sont tournés vers des équipes de DataScientists pour comprendre comment des cybercriminels avaient pu réussi à s’introduire dans le réseau informatique du groupe, et propager le malware « Sodinokibi » sur un grand nombre de serveurs, et de postes de travail. Celui-ci, appelé également « REvil » et « Sodin », a été détecté pour la première fois en avril 2019, lors d’une attaque ZETA exploitant une vulnérabilité dans Oracle WebLogic. 

Il a été développé et est commercialisé par d’anciens affiliés de GandCrab (rançongiciel apparu pour la première fois en janvier 2018) ayant acheté le code source. Cette infection passe généralement par le téléchargement d’un logiciel malveillant parfois dissimulé dans la pièce jointe d’un e-mail piégé (phishing), ou par le biais d’un lien malveillant vers un site Web compromis.

Une caractéristique principale de « Sodinokibi » est sa très grande capacité à échapper à la détection des systèmes antivirus. Sachant que plusieurs éléments indiquent que Sodinokibi est d’origine russe, il est vendu en tant que RaaS (Ransomware as a Service) sur certains forums cybercriminels russophones, offrant ainsi la possibilité à des affiliés de créer et de distribuer leur propre rançongiciel. Dans le cadre d’un hackathon d’une durée de 3 jours, l’équipe de Data Scientists engagés s’est alors mobilisée pour traiter et analyser des millions de logs (journaux d’événements) provenant de l’antivirus et du pare-feu de ce grand groupe industriel. 

L’objectif de ce hackathon était d’analyser les logs afin de retracer l’attaque et d’identifier les points de vulnérabilité. Etant confrontés à de très gros volumes de données, et n’ayant par ailleurs aucune idée précise sur la forme que pouvait prendre cette attaque, les Data Scientists ont estimé que le recours à l’intelligence artificielle pouvait être une solution adaptée pour détecter des événements anormaux et inhabituels. Par le biais de modèles d’apprentissage non supervisés, des structures sous-jacentes ont été découvertes à partir des données non étiquetées, permettant ainsi de sélectionner des logs suspects qui devront être analysés par des experts en systèmes et réseaux, ainsi qu’en cybersécurité. 

Au regard de la littérature scientifique, il est clairement apparu aux yeux de la team que l’algorithme des K-means (ou K-moyennes en français) était relativement bien adapté afin de détecter des anomalies dans des données de réseau. 

Cette approche peut également être automatisée afin de détecter, en temps réel, des activités intrusives sur des systèmes et réseaux informatiques. Il est important de rappeler que l’algorithme des K-means permet d’analyser un jeu de données caractérisées par un ensemble de descripteurs, afin de regrouper les données « similaires » en groupes (ou clusters). La similarité entre deux données étant inférée grâce à la « distance » séparant leurs descripteurs. 

L’algorithme des K-means a ainsi permis de créer deux clusters : l’un correspondant à des structures de données (ou patterns) que l’on retrouve majoritairement dans les logs et l’autre à des structures de données minoritaires pouvant être considérées comme inhabituelles et anormales. 

Ainsi, les structures de données considérées comme anormales ont été analysées par des experts en systèmes et réseaux ainsi qu’en cybersécurité, dans le but de statuer sur leur niveau de dangerosité. Dans l’optique de caractériser les clusters créés par l’algorithme des K-means, les Data Scientists ont ensuite utilisé l’algorithme Random Forest (ou forêt d’arbres décisionnels, appelé aussi forêt aléatoire en français). Cet algorithme a permis d’identifier les variables qui discriminent les clusters par le biais d’un nouveau jeu de données étiquetées et d’un apprentissage supervisé. L’utilisation de modèles de partitionnement de données à base d’apprentissage non supervisé, comme c’est le cas avec l’algorithme de clustering des K-means, a permis d’identifier des structures de données inhabituelles et anormales. 

L’ensemble de ces structures étant ensuite étiquetées par des experts en systèmes et réseaux, ainsi qu’en cybersécurité, il a alors été possible de constituer un jeu de données étiquetées afin d’identifier les variables qui discriminent ces structures via l’utilisation de modèles d’apprentissage supervisés, comme c’est le cas avec l’algorithme Random Forest. 

La constitution d’un jeu de données étiquetées intégrant des structures de données relatives à des attaques avérées ou simulées, ainsi que l’automatisation d’outils d’intelligence artificielle pourraient permettre une véritable surveillance des systèmes en quasi-temps réel, et permettre d’alerter des acteurs internes en charge de la cybersécurité de potentielles attaques.

Compte tenu des revenus générés par les attaques par rançongiciel, et au regard de l’augmentation exponentielle du nombre d’attaquants en lice, facilités par le modèle du RaaS, il est clair que le phénomène rançongiciel continuera à croître dans les prochaines années. 

Mais face à l’ampleur et à la sophistication de ce type de cyberattaques, le recours à l’intelligence artificielle (IA) apparaît de plus en plus nécessaire, afin d’aider les experts en cybersécurité à détecter plus aisément des attaques dont les conséquences peuvent s’avérer extrêmement préjudiciables dans le monde réel. Affaire à suivre…