Des pirates informatiques à l’assaut de l’IA
Contrairement aux algorithmes traditionnels, l’IA n’obéit pas à des règles prédéfinies. Elle analyse des données complexes et reproduit des modèles statistiques capables de reconnaître des images, des voix et même de « lire » un texte pour en extraire les informations clés. Cette aptitude à créer des tâches petites mais complexes en fait un outil de choix pour les pirates.
La reconnaissance constitue l’une des premières étapes d’une attaque informatique et l’IA peut permettre aux hackers de parfaire leur efficacité. Lors de cette phase, l’intrus peut parcourir le domaine public à la recherche d’informations sur la cible.
Alors que les premières cyberattaques s’attaquaient au réseau, il y a aujourd’hui tant d’informations disponibles sur les réseaux sociaux, les rapports d’entreprise et les articles de presse, que les pirates se noient sous la masse de données. L’IA constitue un outil de prédilection pour les collecter, les rassembler et les analyser. En 2017, les chercheurs de Black Hat ont présenté un système permettant d’extraire des données sur les organisations et les dirigeants et d’apprendre à des machines à le faire dans le cadre de piratages de mails professionnels. Ils ont ainsi réussi à développer un outil automatisé permettant de créer des mails convaincants avec des en-têtes usurpés.
Avec la reconnaissance, l’IA peut également recueillir des informations précieuses sur la façon de rédiger. Un an avant la présentation de Black Hat, la société de cybersécurité ZeroFOX a développé un logiciel basé sur l’apprentissage automatique qui comparait les tweets d’individus ciblés avec ceux d’un panel plus large. Il a utilisé ces informations pour créer automatiquement des tweets réalistes infectés par une URL malveillante ciblant des personnalités.
La nouvelle ère du fake
Dans des attaques automatisées, le regroupement et le traitement de grandes quantités de données permettent aux pirates d’accroître la portée de leurs activités. « Les pirates ont besoin de modèles hautement reproductibles qui leur permettent de mener plusieurs fois les mêmes attaques sur différents réseaux », explique Charl van der Walt, responsable de la recherche en sécurité chez Orange Cyberdefense. « Toutes les attaques ne réussiront pas, mais plus il y a de tentatives, plus la probabilité de pénétration effective d’un réseau augmente. C’est une question de statistique. »
L'IA rend également ces attaques plus convaincantes. L’époque des mails d’hameçonnage (phishing) mal rédigés et remplis de fautes d’orthographe est révolue.
L’IA est de plus en plus performante pour reproduire des individus, non seulement à l’écrit, mais également sur des photos ou des vidéos. Les deepfakes utilisent des réseaux antagonistes génératifs (GAN), des réseaux de neurones basés sur l’apprentissage automatique qui se font concurrence pour produire le résultat le plus convaincant. Un réseau tente de créer un artefact tandis que l’autre essaie d’en détecter les failles. Ils créent une boucle vertueuse en s’enrichissant mutuellement jusqu’à faire émerger une donnée exploitable. Les services de renseignement ont déjà utilisé des deepfakes dans des attaques d’ingénierie sociale sur LinkedIn pour créer des réseaux de contacts.
Alors que des amateurs du monde entier nous ont étonnés avec des vidéos deepfake qui semblent montrer le comédien Bill Hader se transformer en Tom Cruise, un danger plus imminent pourrait venir du clonage vocal. Cette technologie utilise des effets similaires à la vidéo, permettant aux utilisateurs d’imiter la voix des autres en temps réel.
Les deepfakes vocaux créent de nombreuses opportunités d'ingénierie sociale par téléphone. Depuis 2019, des entreprises ont été témoin de plusieurs cas de tentatives de fraude vocale, puisque les pirates utilisent des réseaux de neurones artificiels pour imiter d’importantes cibles en utilisant des séquences provenant de YouTube ou d’autres sources.
Les logiciels au service des pirates informatiques
Les pirates progressent aussi dans d'autres cas d'utilisation malveillants de l’IA. En 2016, l’Agence pour les projets de recherche avancée de défense (DARPA) a organisé un Grand Challenge Cyber opposant des équipes disposant d’algorithmes alimentés par l’IA. Chacune d’entre elles a tenté de pirater ou de défendre des réseaux électroniques en jouant au chat et à la souris, avec des résultats impressionnants.
Les chercheurs ont créé des algorithmes qui utilisaient l’apprentissage automatique pour tester les moyens de défense en cybersécurité et, dans certains cas, les contourner intégralement. Lors de la conférence de Black Hat présentant l’attaque automatisée de mails compromettants, des chercheurs ont également présenté AVPASS, un outil qui utilise l’IA pour comprendre comment les programmes antivirus détectent les malwares dans les applications Android et déguisent ensuite les logiciels pour les contourner, sans qu’il soit possible de les détecter.
La société de sécurité Bishop Fox a également présenté DeepHack, un outil qui utilise l’apprentissage automatique pour analyser les intrusions automatiques dans les applications web. D‘autres ont créé des logiciels de vérification de mots de passe basés sur le GAN. Alors que les systèmes classiques utilisent des techniques d’attaques par force brute pour parcourir des millions de mots de passe, PassGAN se sert de l’intelligence artificielle pour extrapoler à partir de mots de passe précédemment divulgués, en utilisant des taux de probabilité pour définir des variations plausibles. Ce système pourrait permettre aux pirates d’accéder plus facilement à des comptes supposément sécurisés.
Charl Van der Walt s’attend à ce que les attaques basées sur l’IA deviennent de plus en plus sophistiquées et s’étendent à d’autres maillons de la chaîne. « Les types d’attaques fondées sur l’IA auxquels nous nous attendons incluent le DeepPhishing (qui utilise un processus d’apprentissage profond pour contourner la détection du phishing basée sur l’IA), de manière à tromper la reconnaissance d’image, les attaques d’applications web et la chasse aux bugs dans les bibliothèques », prévient-il, ajoutant que ces techniques en sont toutes à leur premier stade de développement.
Parmi les autres utilisations frauduleuses possibles de l’IA figure le contournement de la détection. Un logiciel peut observer l’environnement après avoir infecté sa cible, en modifiant son comportement pour se fondre dans le trafic existant. Il peut également décider de la manière dont il se propagerait sur le réseau et même quelles données cibler et exfiltrer.
Ne pas céder à la panique
Face aux utilisations malveillantes de l’IA, il ne faut pas céder à la panique. Il existe des moyens de les contrer. Cela passe notamment par des mesures permettant de les limiter et identifier les avantages potentiels de l’IA en termes de cybersécurité. Comme Europol le souligne dans son rapport de novembre 2020 sur l’IA et la cybersécurité, il est possible de promouvoir de meilleures pratiques de gouvernance autour de cette technologie de manière à sécuriser l’environnement. À titre d’exemple, il convient d’encourager ceux qui publient de nouvelles recherches sur l’IA à y inclure des informations qui aideraient à détecter ou à atténuer le détournement de leurs travaux à des fins malveillantes. Une contre-recherche existe déjà et qui permet de détecter automatiquement les deepfakes en repérant les anomalies dans les images et les vidéos générées par les GAN.
Il est également possible d’utiliser l’IA comme moyen de protection supplémentaire. C’est le cas des sociétés de services financiers, qui s’en servent déjà pour détecter les fraudes, tandis que de nombreuses entreprises ont recours à l’apprentissage automatique pour identifier des anomalies dans des domaines aussi variés que les logiciels, les e-mails ou les comportements des utilisateurs.
Comme pour la plupart des technologies qui simplifient la vie des utilisateurs, l’IA est à la fois une arme et un outil. Pour chaque pirate qui choisit de l’utiliser à mauvais escient, on trouve de nombreux ingénieurs capables de créer des outils de cybersécurité performants pour les contrer.
Le rapport « Construire une société numérique plus sûre » est en ligne. Il contient des informations de premier plan issues de nos 17 SOC et CyberSOC répartis à travers le monde, des Epidemiology Labs et World Watch, ainsi que des rapports d’experts et des revues technologiques sur des sujets tels que les solutions de vidéoconférence et l’écosystème de la cybercriminalité. Téléchargez le rapport pour découvrir les événements les plus marquants de 2020 et comment envisager l’avenir.