Comment l’intelligence artificielle aide à lutter contre les attaques informatiques

Les technologies d’intelligence artificielle sont de plus en plus mises à contribution dans la lutte contre les menaces. Mais les attaquants ne se privent pas d’essayer de les berner.

Traditionnellement, la cybersécurité s’appuie sur des signatures de fichiers pour identifier les logiciels malveillants et sur des règles pour détecter les anomalies au sein du trafic réseau. Ces méthodes nécessitent la connaissance d’un grand nombre de facteurs : les fichiers malveillants doivent être connus, avoir été observés et analysés au préalable. Il en va de même les systèmes basés sur des règles : celles-ci sont établies sur la base de l’expérience de ce qui pourrait être une activité malveillante.

Le problème de ces méthodes est leur nature réactive : les attaquants trouvent des moyens novateurs de contourner les règles connues, et avant qu'un expert ne l’ait découvert, il est souvent trop tard.

Une nouvelle approche

Dans ce contexte, l’intelligence artificielle peut apporter à la cybersécurité une capacité d'adaptation toute nouvelle : il n’est plus question de suivre des règles spécifiques ou de chercher des signatures, mais de comparer ce qui est observé avec des modèles certes préétablis à partir de la connaissance acquise par le passé, mais évolutifs et moins stricts que les signatures ou les règles.

« Là où une approche basée sur les signatures fournit une cartographie 1 pour 1 des menaces, la science des données utilise un apprentissage collectif basé sur toutes les menaces observées dans le passé pour identifier de manière proactive les nouvelles menaces qui n'ont jamais été vues auparavant », explique Chris Morales, responsable de l’analytique de sécurité chez Vectra.

Surtout, il s’agit d’aller au-delà de l’empreinte statique d’un fichier pour se pencher sur des spécificités comportementales. Un rançongiciel, par exemple, analyse les fichiers, identifie ceux auxquels il va s’attaquer, en réaliser une copie chiffrée, puis supprimer les originaux, et envoie la clé de chiffrement à ses opérateurs.

« Cette séquence d'événements est assez unique ; vous ne verrez pas beaucoup de logiciels légitimes faire cela », relève Doug Shepherd, responsable de la sécurité chez Nisos. Des modèles comportementaux permettent rapidement d’identifier de telles séquences, y compris pour des ransomwares inconnus. Et c’est d’autant plus important que leurs opérateurs s’assurent de les faire évoluer rapidement : il n’est pas rare qu’un outil de déchiffrement soit disponible pour un tel maliciel… en même temps que commence la diffusion de sa nouvelle variante.

La différence est là, explique Doug Shepherd : « les outils de protection holistiques et basés sur l’intelligence artificielle vont chercher ces séquences d'événements et signaler les choses qu'ils n'aiment pas, à l’opposé d’un système de sécurité traditionnel basé sur une signature, qui se contente de signaler les logiciels ou les morceaux de logiciels qui ont été vus auparavant et qui sont connus comme malicieux ».

L’intelligence combinée

L’autre force de l’IA tient à l’intelligence combinée. Un système informatique se compose de différents composants logiciels, avec chacun ses propres mécanismes de sécurité et journaux d’activité, ses logs. Un système analytique peut surveiller l’ensemble en continu pour y dénicher des tendances, à l’échelle de tous les systèmes de l’infrastructure considérée. Une intelligence artificielle peut construire une vue complète des actions que chaque utilisateur effectue, ce qui lui permet de mieux débusquer les actions malveillantes et d'éliminer les fausses alarmes.

Chas Clawson, évangéliste en cybersécurité chez Micro Focus, relève ainsi que « les équipes du SecOps sont confrontées à trop d'alertes, mais ne disposent pas d’analystes en nombre suffisant pour y faire face. Grâce à l'apprentissage automatique et à l’intelligence artificielle, le rapport signal/bruit est amélioré et, avec lui, les délais moyens de détection et de réponse ».

Dès lors, pour lui, l'objectif final est un centre opérationnel de sécurité (SOC) semi-autonome où les analystes ne traitent que les événements les plus complexes ou les plus critiques, tandis que le reste est géré en automatisant les réponses répétitives que les machines peuvent apprendre à gérer.

Ces systèmes de sécurité utilisant l’intelligence artificielle constituent un tout nouveau défi pour les attaquants : non seulement ils doivent tromper les contrôles de sécurité, mais ils doivent le faire intelligemment, avec finesse et subtilité. Pour les évangélistes tels que Doug Shepherd et Chas Clawson, les attaques brutales et les attaques de robots appartiennent au passé. Ce qui signifie que les attaquants devront également utiliser l’intelligence artificielle pour s’infiltrer.

Les attaques par empoisonnement des données

Dès lors, les DSI doivent bien comprendre les limites et faiblesses des nouveaux systèmes qu’ils déploient. « Malheureusement », relève Peter Purcell, co-fondateur d'EVAN, un réseau de professionnels informatiques, « le personnel [informatique et commercial] tend à une certaine complaisance une fois qu'un système de cybersécurité basé sur l'intelligence artificielle est mis en place ». Car pour lui, « ils supposent que ce nouveau système apprendra assez vite à se protéger contre toutes les attaques ». Mais « ce n'est tout simplement pas vrai ».

Les moteurs d’intelligence artificielle actuels utilisent des données statistiques pour classer les tendances comme malveillantes ou bénignes. Mais la capacité d’adaptation de ces moteurs peut aussi devenir leur faiblesse.

« De nombreux systèmes peuvent détecter des anomalies au départ, mais au bout d’un moment ils s’entraînent à l’accepter comme des comportements normaux », souligne Satish Abburi, vice-président de System Soft Technologies en charge de l’ingénierie. Et justement, « les attaquants masquent généralement leurs activités en observant les comportements normaux, comme par exemple l’envoi de données à un serveur ou une imprimante via un appel https ».

De fait, puisque la force des algorithmes statistiques tient à la reconnaissance de modèles, de schémas, les attaquants sont susceptibles d’adapter progressivement leurs comportements pour qu’ils paraissent normaux, ou de réaliser leurs actions de sorte à induire une confusion.

Cela peut passer par l’ajout d’étapes d’exécution inutiles en rapport avec le but poursuivi, mais pensées pour donner une apparence de normalité au processus. A cela peuvent également s’ajouter des signaux faibles d’apparence anodine pour l’analyste humain, mais efficaces pour tromper les algorithmes d’apprentissage automatique. Cela s’est vu contre des algorithmes de reconnaissance visuelle. Mike Lloyd, directeur technique de RedSeal, l’explique simplement : « la machine n’a aucun contexte sur ce qui est normal comme activité humaine. Dès lors, il est possible d’ajouter toute sorte de signaux étranges qui n’auront aucun sens pour un analyste humain mais feront dire à la machine qu’elle est confrontée à une activité normale ». Et ça, les attaquants les plus avancés le comprennent déjà.

Une promesse à relativiser

Il est important de déterminer le principal facteur de risque d’un système d’information. Et comme cela peut être répété à l’envi, ce n'est pas forcément un logiciel.

Joshua Motta, PDG et cofondateur de Coalition, une compagnie de cyber-assurance, relève ainsi que « la grande majorité des demandes d’indemnisation que nous recevons à la suite d’une attaque informatique impliquent une erreur humaine sous une forme ou une autre. Plus de 90 % de toutes les attaques que nous voyons partent de choses simples comme le phishing, l'injection SQL, l'accès à distance sur Internet et des mots de passe faibles ».

L'intelligence artificielle apporte donc une couche de sécurité supplémentaire. Elle est susceptible de ralentir considérablement des pirates informatiques. Peut-être même au point de les détourner vers des systèmes ne disposant pas d’une telle protection, car ils sont plus faciles d'accès.

Mais aucun système n'est totalement sûr. Les efforts des attaquants sont proportionnels à la valeur de leur cible. Et des cyber-délinquants de haut niveau, liés à des états, persisteront jusqu'à réussir à s’infiltrer et à s’installer durablement. Il faut le garder à l’esprit : la sécurité est un processus, pas un produit.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close