peterzayda - stock.adobe.com

Le tsunami de l’IA générative bouscule le monde de la Cyber Offensive

L’impact de l’IA sur la sécurité offensive, est désormais manifeste. C’est une aide à de nombreux égards, mais aussi un bouleversement complet de l’écosystème du Bug Bounty.

La première édition des rencontres du Clusif a été l’occasion d’aborder un thème relativement nouveau, celui de l’impact de l’IA générative dans la cybersécurité offensive.

L’IA s’est fait une place dans les outils de détection, dans les SOC depuis quelques années. Elle s’impose aussi dans les équipes de cybersécurité offensives. Elle est tout d’abord considérée comme un outil d’automatisation, comme l’a expliqué Hélène Chang, Offensive & Application Security Manager chez l’industriel Rexel : « nous menons une vingtaine de tests d'intrusion par an sur nos différentes entités. La cyber offensive est vraiment un sujet important. Notre CEO était chez Saint-Gobain lors de l’attaque NotPetya. Pour lui, c’est un sujet vraiment important et nous bénéficions d’un sponsorship important de notre direction sur ce sujet ».

Hélène Chang a notamment automatisé le processus de déchiffrement des hash de mot de passe : « c’était en 2023, au tout début d’Open.ai, quand un membre de mon équipe a dû partir en congé maladie et il était le seul à gérer ce volet dans notre service. Je n’avais pas une connaissance détaillée de ce qu’il faisait, je n’avais pas accès au serveur, mais comme nous faisons des pentests toute l’année, nous avons des deadlines à tenir tous les mois ».

La responsable s’est lancée dans un reverse engineering de la procédure habituellement suivie par son collaborateur et a expliqué à ChatGPT ce qu’elle souhaitait obtenir et comment l’automatiser : « je ne suis pas développeuse à la base et sans ChatGPT je ne me serais pas lancé dans cette automatisation, mais après plusieurs nuits de travail, nous avons pu automatiser ce processus. Aujourd’hui, celui-ci nécessite moins de maintenance ». Plus récemment, son équipe est restée bloquée plusieurs jours devant un antivirus. Avec l’IA, quelques heures plus tard, ils disposaient d’une solution qui a fonctionné.

Autre approche, celle de Sheldon Fresne, Product Owner - Offensive Cybersecurity dans une société agroalimentaire du CAC40 et, par ailleurs, co-animateur de l’espace OffSec du Clusif. Son périmètre couvre toutes les activités cyberdéfense dites préventives. De ce fait, son équipe assure la gestion des vulnérabilités, les pentests, les programmes de Bug Bounty et de RedTeaming : « la gestion des vulnérabilités est une activité de plus en plus tendance, malheureusement, avec la vulnérabilité qui tombe le vendredi à midi et à laquelle il faut donner une réponse avant 17h ou 18h. Ceux qui sont équipés des solutions de gestion des vulnérabilités classiques disposent de beaucoup d'informations, mais ils n'ont pas la finesse de ce qu’un attaquant dispose avec des méthodes offensives et qui est vraiment la meilleure méthode pour essayer d'évaluer la dangerosité d’une vulnérabilité ».

Pour Sheldon Fresne, l’IA a un rôle à jouer : « une personne qui fait de la gestion des vulnérabilités et qui n’est pas pentester est capable de vérifier si un code d’exploitation existe, et, s’il ne comprend pas la vulnérabilité, se la faire expliquer par l’IA. Il peut ensuite automatiser la remédiation à l’échelle » .D’une certaine manière, l’IA rapproche la gestion des vulnérabilités et l’offensif.

Hocine Mahtout Offensive Security Manager à la Caisse des Dépôts et co-animateur de l’espace OffSec du Clusif explique que si, au début, l’IA pouvait donner des conseils lors d’un test d'intrusion, ces propositions ont rapidement évolué vers le développement d’exploits complets : « je pense notamment à un outil assez connu pour faire de l’exploitation Active Directory, ImPacket et qui a été converti de Python vers le langage Go car l’ensemble des équipements défensifs s’appuyaient la signature de la version Python. Nous avons maintenant la possibilité de transposer des outils vers d’autres langages ».

Il évoque aussi de récents travaux qui montrent qu’il est possible, à travers un agent, de tester l’ensemble des méthodes de détection d’un EDR : « c’est très intéressant, car se livrer à un contournement d’EDR demande beaucoup de temps, c’est très fastidieux, il faut développer, compiler. L’agent fait désormais tout lui-même, détermine, par rapport à la littérature existante, ce qu’il peut faire ou pas. L’EDR qui était une boite noire jusqu’à aujourd’hui, ne l’est plus car un agent peut identifier ce qui va déclencher ou pas une alerte ».

Le Bug Bounty change de dimension

L’IA vient accélérer les processus liés à la sécurité offensive et c’est tout particulièrement flagrant dans l’écosystème du Bug Bounty : « du côté des pentests et du Red Teaming, l’IA est un peu moins utilisée pour des raisons de confidentialité. Il n’est pas possible d’envoyer des données sur une application interne vers une IA commerciale. Par contre, pour moi, le plus gros changement apporté par l’IA dans l’OffSec porte sur le Bug Bounty », déclare Hocine Mahtout.

Et d'indiquer avoir « noté une nette accélération des tests menés par les chasseurs, sans doute par peur de rater la prime. Ils n’hésitent pas à utiliser toutes les technologies à leur disposition et il n’y a plus un hunter qui n’utilise pas l’IA pour faire sa reconnaissance, essayer de comprendre comment fonctionne l’application ».

Chercheur en cybersécurité, Cassim Khouani fait justement du Bug Bounty depuis 4 ans sur la plateforme HackerOne, puis surtout sur YesWeHack où il est actuellement classé dans le Top 30. Il confirme le tsunami LLM qui s’est abattu sur le milieu : « nous avons vu arriver les agents en début d’année et tout s’est accéléré. Avant cela, tous les hackers éthiques utilisaient un peu l’IA générative, essentiellement pour rédiger les rapports ou comprendre des applications, etc. Avec les modèles frontières, il est maintenant facile de demander à l’IA d’aller chercher les bugs. L’IA nous ramène des choses, parfois vraies, parfois fausses ».

De fait, l’arrivée des LLM a énormément changé le monde du Bug Bounty : beaucoup de débutants se prennent pour des chasseurs de bogues attirés par l’appât du gain. Mais encore une fois, ce que l’IA trouve n’est pas toujours pertinent et requiert un énorme travail de vérification : « les programmes [NDLR : client qui lance le Bug Bounty] reçoivent énormément plus de rapports que par le passé, et tous ne sont pas bons. 90 % de ce que renvoie Claude est faux, donc même si les LLM s’améliorent énormément, il y a encore beaucoup de travail à faire ».

Pour Cassim Khouani, « notre rôle a beaucoup changé : nous faisons beaucoup plus de tri dans tout ce que ramène le LLM pour faire ressortir ce qui est intéressant et qui mérite d’être creusé ».

Conséquence directe de cette arrivée des LLM, beaucoup de programmes de Bug Bounty qui étaient ouverts, donc accessibles par tous les hackers éthiques inscrits sur la plateforme, passent en mode fermé : « auparavant, un programme était souvent lancé privé, puis devenait ouvert quand l’entreprise se sentait plus mature ». résume Cassim Khouani. Désormais, c'est l'inverse, « avec des programmes publics qui deviennent fermés afin de pouvoir gérer le flot de rapports et ne garder d’un petit nombre de hackers dont on a reconnu le niveau et avoir des rapports de meilleure qualité ».

Hocine Mahtout confirme ces tendances : « nous recevons effectivement plus de rapports et qui ne sont pas forcément de meilleure qualité. Certains hackers qui, avant, ne prenaient pas la peine de rédiger un rapport de qualité, demandent simplement à l'IA de le rédiger pour eux, sans forcément le relire. Or, nous, nous sommes obligés de tout relire en détail, pour essayer de comprendre et faire en sorte que le hacker ne soit pas lésé, car si on comprend mal le rapport, la relation avec le hacker peut se tendre ».

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)