Attachez vos ceintures, l’intelligence artificielle devrait bientôt décupler la gravité des cyberattaques<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
L'impact des cyberattaques incontrôlées devient de plus en plus coûteux. L'intelligence artificielle pourrait décupler la gravité des attaques.
L'impact des cyberattaques incontrôlées devient de plus en plus coûteux. L'intelligence artificielle pourrait décupler la gravité des attaques.
©Gorodenkoff / Shutterstock / DR

Cybercriminalité

L’IA pourrait-elle révolutionner à terme la Cyberdéfense ? Permettra-t-elle des cyberattaques encore plus dévastatrices, ou révolutionnera-t-elle les moyens de cyberdéfense ? L'examen des opérations fournit quelques indices sur la façon dont l'intégration du cyber et de l'IA peut évoluer.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » d u « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).
Voir la bio »

Atlantico : Comme le rappelle la publication Foreign Affairs, une augmentation spectaculaire des attaques par ransomware a été constatée cette année. Elles ont visé des infrastructures nationales et compromis les données de centaines d’entreprises et d'organismes gouvernementaux à travers le monde. L’attaque informatique sur le logiciel « SolarWinds Orion » n'a pas été découverte pendant de très longs mois consécutifs. Dès lors, serions-nous entrés de plain-pied dans une nouvelle ère de brèches informatiques que nous serions en réalité peu capables d’endiguer aisément ?

Franck DeCloquement : Foreign Affair rappelle en effet dans ses colonnes que 2021 fut une année funeste pour les opérations de cyberdéfense américaines. L'impact des cyberattaques incontrôlées devient de plus en plus coûteux, et nombreux sont ceux qui estiment que les États-Unis devraient promptement explorer les possibilités de l'IA pour améliorer sa cyberdéfense afin de mieux protéger les fournisseurs d'infrastructures critiques, mais aussi les structures étatiques. D’autant qu’une augmentation spectaculaire des attaques de ransomwares a en outre ciblé des infrastructures aussi critiques que le « Colonial Pipeline » – qui a été fermé pendant six jours en mai, perturbant l'approvisionnement en carburant de 17 États – et a interrompu le bon fonctionnement de milliers d'écoles à travers les Etats-Unis, mais aussi d'entreprises et d'hôpitaux américains. À ce jour, il y a de surcroit peu de raisons de croire que les ennemis stratégiques des Etats-Unis ne se tourneront pas à l’avenir vers des formes d’attaques « augmentées » par le truchement de l'IA. L’Amérique est donc engagée dans cette voie d’amélioration pour s'assurer que ses moyens de défense y gagneront en efficacité.

À Lire Aussi

Pourquoi il devient urgent de sauver nos démocraties de la technologie

De nombreuses applications logicielles, et les systèmes d'exploitation en particulier, contiennent des millions de lignes de code. Ce qui rend particulièrement difficile la détection de chaque vulnérabilité potentielle. Le piratage du logiciel « SolarWinds Orion », qui a compromis les données de centaines d’entreprises et agences gouvernementales n'a, en effet, été découvert que huit mois plus tard. Et cela a aussi démontré sans ambages que même les organisations les mieux dotées en matière de cybersécurité demeurent encore beaucoup trop vulnérables face aux actions offensives menées par des acteurs internationaux malveillants, mais aussi parfaitement déterminés. Les techniques automatisées de détection algorithmique pourraient en effet aider, de la même manière que les vérificateurs d'orthographe et de grammaire peuvent aider un écrivain à trouver et corriger ses erreurs dans un très long texte rédigé. Mais invariablement, une personne humaine qualifiée – le plus souvent un relecteur – doit analyser et réviser à la suite chaque phrase écrite.

Ce qui ne s'est encore produit à aucune échelle, c'est l'application de techniques d'IA pour supprimer une partie de la charge de travail cognitive nécessaire, afin d’améliorer les capacités humaines existantes ou requises pour cette tâche. Car aussi impressionnantes que soient ces nouvelles applications permises par l'IA, rien ne garantit pourtant qu'il sera possible de réellement développer très rapidement des agents algorithmiques de cyberdéfense « autonomes » et « omniscients ». Des outils potentiellement puissants sur le papier se sont pourtant avérés difficiles à mettre en œuvre dans l'ensemble des taches liées à la cybersécurité : identification des menaces, protection, détection, réponse et récupération. Au lieu de cela, ils ont été appliqués plus étroitement à des tâches spécifiques, telles que la détection d'intrusion. Cependant, le potentiel qu’offrent ces technologies novatrices est trop important pour être ignoré. Tout particulièrement, l’occurrence d’une menace que pourrait causer des « cyber-agents autonomes » si elle était pleinement réalisée un jour prochain. Des agents parcourant un réseau pour y trouver des faiblesses, puis y lancer des attaques dévastatrices. Théoriquement, des pirates pourraient lancer de surcroit des milliers d’agents à la fois, causant des ravages inestimables sur les infrastructures des entreprises critiques visées, ou des opérateurs d’importance vitale. Cette perspective funeste n’est pas acceptable. Ces cyber-agents offensifs évoqués ne dépendraient plus d'un ensemble d'instructions explicites et préprogrammées pour guider leur activité. Au lieu de cela, ils seraient en mesure d'ajuster leurs opérations en temps réel, sans intervention humaine supplémentaire, en fonction des conditions et des opportunités qu'ils rencontrent sur le terrain. En théorie, ces agents pourraient se voir attribuer un objectif sans qu'on leur dise comment l'atteindre.

À Lire Aussi

La probabilité de cyber attaques sur nos armements est élevée : sommes-nous suffisamment préparés ?

Les cybercriminels qui mènent ces actions offensives n'utiliseraient pas encore, ou très peu, le potentiel qu’offre l’IA. Si les attaques traditionnelles commençaient à perdre de leur efficacité, pouvons-nous nous attendre rapidement à intensification des cyberattaques augmentée par le truchement de l’IA ? Cela se traduira-t-il nécessairement une augmentation de la fréquence de ces attaques ? Nos traditionnels pirates pourraient-ils alors disparaître au profit de l’IA ?

Franck DeCloquement : Des cyber-agents autonomes qui parcourraient les réseaux, et lanceraient d’initiatives des attaques intelligentes seraient naturellement  dévastateurs si cela advenait. Très schématiquement, tous les secteurs stratégiques ou les conflits font rage entre nations rivales, ennemis ou concurrentes, font évidemment l’objet d’attaques informatiques malveillantes. Et dans ce contexte délétère de tension géopolitique, alors même que les équipes hétéroclites de cybercriminels informatiques agissent sans vergogne à travers le monde (parrainés par des États faillis, ennemis ou concurrents), elles n'ont pourtant pas encore adopté les potentialités qu’offre l'intelligence artificielle. Alors même que ces capacités sont pourtant accessibles, avec très peu de restrictions corrélatives. Mais si les cyberattaques traditionnelles venaient à perdre de leur efficacité aux yeux des pirates, ceux-ci n'hésiteraient naturellement pas à déployer promptement de nouvelles méthodes beaucoup plus compatibles avec les nouvelles ressources algorithmiques qu’offre l'IA. Et ceci, dans le but évident de restaurer au plus vite leur avantage « concurrentiel », et leur initiative d’attaque sur l’adversité. Cela nous permet aussi d’entrevoir que dans un futur très proche, les pires scénarios d’attaques adverses sont envisageables, avec un niveau d’intensité sans précédent en matière de vitesse d’action et d’efficacité criminelle.

À Lire Aussi

L’espionnage des Européens par la NSA dépasse en volume tout ce que l’on peut imaginer et rien ni personne ne s’y oppose

On peut d’ores et déjà constater que les cyberattaques ayant causé le plus de dommages ces dernières années, telles que « NotPetya » en 2017, ont très tôt incorporé des techniques « automatisées ». Ces approches reposent sur des techniques normatives basées sur des règles, et n'ont pas la capacité de s’ajuster à la volée. Mais elles peuvent néanmoins être considérées comme précurseurs d'approches futures entièrement automatisées. Les techniques actuelles de piratage sont déjà très efficaces, et l'ajout détonant de l'IA au mélange classique pourrait être actuellement perçu comme une complication inutile. Et bien que l’ensemble de compétences requises en matière d'IA et de Cyber se chevauchent dans une certaine mesure, celles-ci sont cependant suffisamment distinctes pour qu'une expertise supplémentaire soit nécessaire pour créer et intégrer des techniques d'IA, à des fins de cyber piratage.

A contrario, si les moyens de la cyberdéfense mis en œuvre par les défenseurs s’amélioraient suffisamment, de nouvelles approches obligeraient sans doute les attaquants à explorer de nouvelles modalités d’actions intrusives. Un individu ou une organisation pourrait par exemple développer des cyber-outils simples d’utilisation – mais augmentés par l'IA – réduisant le coût et le niveau d'expertise requis, pour les appliquer avec succès contre une cible. Il existe d’ailleurs un précédent : certains pirates, après avoir découvert une vulnérabilité, publient parfois un code de preuve de concept qui est rapidement militarisé, puis prestement diffusé au sein de la communauté des pirates. Compte tenu de la nature ouverte de la recherche sur l'IA, il n'y aurait pas grand-chose à faire afin d’empêcher une diffusion similaire d'outils de cyberattaque, améliorés par l'IA.

À Lire Aussi

Connaissez-vous REvil, le gang de cybercriminels le plus féroce de tous les temps (selon le FBI en tous cas) ?

Du côté des défenseurs, le « machine learning » profite d’ores et déjà aux tâches de cybersécurité spécifiques. L'un des points forts de « l'apprentissage automatique » est sa capacité à reconnaître des modèles existant dans de très grands ensembles de données hétérogènes. Des algorithmes similaires à ceux qui classent les objets ou recommandent les achats en ligne peuvent être utilisés pour détecter les activités suspectes sur les réseaux. L'application des techniques d'apprentissage automatique aux systèmes traditionnels de détection d'intrusions a sans doute déjà permis de déjouer de nombreuses attaques. Pour des tâches beaucoup plus banales de détection de courriels indésirables, par exemple, l'apprentissage automatique a offert des améliorations qualitatives substantielles. Plus récemment, des algorithmes de reconnaissance faciale d'apprentissage en profondeur ont permis par exemple l'authentification des utilisateurs sur leurs propres appareils mobiles, atténuant sensiblement par la même les problèmes de cybersécurité identifiés de longue date, comme le choix de mots de passe peu robustes, ou de numéros d'authentification personnels très faibles.

S’il est possible d’utiliser l’IA pour pirater un système informatique, pouvons-nous de la même façon l’utiliser, a contrario, pour protéger nos systèmes d’information ? Est-ce une solution de réponse viable ? Devons-nous dès à présent investir dans la création d’outils plus adaptés pour répondre à de nouveaux types de problèmes, en matière de sécurité informatique ?

Franck DeCloquement : Les cyberattaquants ne sont en effet pas les seules à pouvoir bénéficier des apports de l’intelligence artificielle pour mener à bien leurs différents forfaits criminels. L'apprentissage automatique et bien d'autres ressources qu’offre l'IA commencent également à renforcer les moyens dont disposent les experts de la cyberdéfense, mais peut-être pas encore à l'échelle nécessaire pour modifier l'avantage « concurrentiel » dont disposent toujours les agresseurs à ce jour. Mais il existe de bonnes raisons d'espérer que l'IA changera la donne au bénéfice des « Good Guys » en action de défense, dans la préservation de nos infrastructures et de nos écosystèmes cyber. Alors que l'attaque et la défense s'efforcent toutes les deux de tirer le meilleur de l’'IA, la question qui demeure est de savoir – en définitive – lequel des deux camps parviendra à en profiter le plus ?

Parmi ces cyberattaques, le cas des rançongiciels est particulièrement intéressant à explorer, pour juger sur pièce la capacité véritable qu’à l’IA à les contrer et à les endiguer. D’autant qu’ils connaissent une véritable explosion depuis le début de la crise sanitaire : les entreprises, les organisations publiques et les associations ont dû s’adapter très rapidement, et déployer massivement des outils digitaux de contre-mesures, leur permettant d’assurer la continuité de leurs activités. Dans le même temps, ces organisations ont aussi dû faire face à une véritable explosion du nombre de cyberattaques. D’après l’ANSSI, l’Autorité Nationale de la Sécurité des Systèmes d’Information, le nombre de cyberattaques en France a été multiplié par quatre en 2020 et leur sophistication est de plus en plus élevée. Ce chiffre s’explique en partie par le manque criant de sensibilisation aux risques cyber, l’absence de maîtrise des systèmes d’information, le non-respect des mesures d’hygiène informatique de base, la pénurie d’experts en cybersécurité et, dans une certaine mesure, l’augmentation de la surface d’attaque du fait de la généralisation du télétravail. Autant de faiblesses en mesure d’être exploitées par les cybercriminels en quête de forfaits digitaux.

Les ransomware sont en définitive des logiciels malveillants qui bloquent l’accès à un ordinateur ou à des fichiers en les chiffrant, et qui réclament ensuite à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Les organisations publiques et les entreprises françaises sont de plus en plus souvent victimes de ce type d’attaque. Selon l’ANSSI, celles-ci ont augmenté de 255% en seulement un an, et représentent désormais la première menace pour les entreprises et les organisations publiques dans l’hexagone. De très nombreux secteurs d’activité ont été touchés par les rançongiciels en France en 2020. À l’image des attaques sur les centres hospitaliers de Dax et de Villefranche-sur-Saône, qui nous ont nettement démontré la criticité de ce type de menace, avec des conséquences très importantes sur les soins et le suivi des patients hospitalisés que cela représente. Ces cyberattaques frappent aussi très durement le monde de l’entreprise, allant même jusqu’à générer de conséquentes pertes de chiffre d’affaires, et de nombreuses perturbations dans les systèmes de production des entreprises. À titre d’exemple, les pertes subies par Sopra Steria, victime de « Ryuk » en octobre 2020, ont été estimées à environ 50 millions d’euros. Ce phénomène touche toutes les entreprises, quelle que soit leur taille et leur secteur d’activité, puisque selon la sixième édition du baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), 20% des grandes entreprises françaises ont été victimes en 2020 de rançongiciels, et 30% d’entre elles emploient au moins 5000 salariés. Sachant que ces chiffres sont sans doute sous évalués, cela nous permet néanmoins de mesurer l’ampleur du phénomène. En 2020, de grands groupes industriels français se sont tournés vers des équipes de DataScientists pour comprendre comment des cybercriminels avaient pu réussi à s’introduire dans le réseau informatique du groupe, et propager le malware « Sodinokibi » sur un grand nombre de serveurs, et de postes de travail. Celui-ci, appelé également « REvil » et « Sodin », a été détecté pour la première fois en avril 2019, lors d’une attaque ZETA exploitant une vulnérabilité dans Oracle WebLogic. Il a été développé et est commercialisé par d’anciens affiliés de GandCrab (rançongiciel apparu pour la première fois en janvier 2018) ayant acheté le code source. Cette infection passe généralement par le téléchargement d’un logiciel malveillant parfois dissimulé dans la pièce jointe d’un e-mail piégé (phishing), ou par le biais d’un lien malveillant vers un site Web compromis.

Une caractéristique principale de « Sodinokibi » est sa très grande capacité à échapper à la détection des systèmes antivirus. Sachant que plusieurs éléments indiquent que Sodinokibi est d’origine russe, il est vendu en tant que RaaS (Ransomware as a Service) sur certains forums cybercriminels russophones, offrant ainsi la possibilité à des affiliés de créer et de distribuer leur propre rançongiciel. Dans le cadre d’un hackathon d’une durée de 3 jours, l’équipe de Data Scientists engagés s’est alors mobilisée pour traiter et analyser des millions de logs (journaux d’événements) provenant de l’antivirus et du pare-feu de ce grand groupe industriel. L’objectif de ce hackathon était d’analyser les logs afin de retracer l’attaque et d’identifier les points de vulnérabilité.  Etant confrontés à de très gros volumes de données, et n’ayant par ailleurs aucune idée précise sur la forme que pouvait prendre cette attaque, les Data Scientists ont estimé que le recours à l’intelligence artificielle pouvait être une solution adaptée pour détecter des événements anormaux et inhabituels. Par le biais de modèles d’apprentissage non supervisés, des structures sous-jacentes ont été découvertes à partir des données non étiquetées, permettant ainsi de sélectionner des logs suspects qui devront être analysés par des experts en systèmes et réseaux, ainsi qu’en cybersécurité. Au regard de la littérature scientifique, il est clairement apparu aux yeux de la team que l’algorithme des K-means (ou K-moyennes en français) était relativement bien adapté afin de détecter des anomalies dans des données de réseau. Cette approche peut également être automatisée afin de détecter, en temps réel, des activités intrusives sur des systèmes et réseaux informatiques. Il est important de rappeler que l’algorithme des K-means permet d’analyser un jeu de données caractérisées par un ensemble de descripteurs, afin de regrouper les données « similaires » en groupes (ou clusters). La similarité entre deux données étant inférée grâce à la « distance » séparant leurs descripteurs. L’algorithme des K-means a ainsi permis de créer deux clusters : l’un correspondant à des structures de données (ou patterns) que l’on retrouve majoritairement dans les logs et l’autre à des structures de données minoritaires pouvant être considérées comme inhabituelles et anormales. Ainsi, les structures de données considérées comme anormales ont été analysées par des experts en systèmes et réseaux ainsi qu’en cybersécurité, dans le but de statuer sur leur niveau de dangerosité. Dans l’optique de caractériser les clusters créés par l’algorithme des K-means, les Data Scientists ont ensuite utilisé l’algorithme Random Forest (ou forêt d’arbres décisionnels, appelé aussi forêt aléatoire en français). Cet algorithme a permis d’identifier les variables qui discriminent les clusters par le biais d’un nouveau jeu de données étiquetées et d’un apprentissage supervisé. L’utilisation de modèles de partitionnement de données à base d’apprentissage non supervisé, comme c’est le cas avec l’algorithme de clustering des K-means, a permis d’identifier des structures de données inhabituelles et anormales. L’ensemble de ces structures étant ensuite étiquetées par des experts en systèmes et réseaux, ainsi qu’en cybersécurité, il a alors été possible de constituer un jeu de données étiquetées afin d’identifier les variables qui discriminent ces structures via l’utilisation de modèles d’apprentissage supervisés, comme c’est le cas avec l’algorithme Random Forest. La constitution d’un jeu de données étiquetées intégrant des structures de données relatives à des attaques avérées ou simulées, ainsi que l’automatisation d’outils d’intelligence artificielle pourraient permettre une véritable surveillance des systèmes en quasi-temps réel, et permettre d’alerter des acteurs internes en charge de la cybersécurité de potentielles attaques.

Compte tenu des revenus générés par les attaques par rançongiciel, et au regard de l’augmentation exponentielle du nombre d’attaquants en lice, facilités par le modèle du RaaS, il est clair que le phénomène rançongiciel continuera à croître dans les prochaines années. Mais face à l’ampleur et à la sophistication de ce type de cyberattaques, le recours à l’intelligence artificielle (IA) apparaît de plus en plus nécessaire, afin d’aider les experts en cybersécurité à détecter plus aisément des attaques dont les conséquences peuvent s’avérer extrêmement préjudiciables dans le monde réel. Affaire à suivre…

Le sujet vous intéresse ?

À Lire Aussi

Quand le dernier décret de l'administration Trump oblige les fournisseurs de Cloud américains à jouer les espionsComment les Etats parviennent à contourner les méthodes de chiffrement de nos smartphones

Mots-Clés

Thématiques

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !