La mutation de la cybersécurité engendrée par le développement de l'IA : nouveaux risques et solutions apportées

Avant-propos : Le terme « hacker » ayant une définition relativement incomplète ou erronée aux yeux du grand public, nous tenions à rappeler qu’originellement « hacker » provient du verbe anglais « hacking » qui signifie « trifouiller », « bidouiller ». Il existe 3 catégories d’hackers :
• White Hat : Il aide à sécuriser les systèmes en recherchant des failles non corrigées. Le hacking se fait avec l’autorisation légale de l’entité propriétaire de la cible à attaquer.
• Black hat : Il agit sans autorisation légale (ex : pirates, crackers, crashers, carders, …)
• Grey Hat : Il agit sans autorisation légale mais avec une motivation morale ou idéologique. Cette catégorie comprend notamment les Hacktivistes (ex : Wikileaks, Shadow brokers…), et des Script-Kiddies...

Rappel : Un hacker ne crée pas de faille, il révèle celles qui existent déjà.

Pour comprendre les enjeux du monde dans lequel nous vivons, nous devons nous efforcer d’intégrer à notre réflexion les futurs problématiques auxquelles nous serions à même d’être confrontés. Dans un monde ultra connecté où la technologie et le cyberespace prennent de l’ampleur et vont souvent de pair, l’Intelligence Artificielle (ou I.A.) s’installe comme une des préoccupations majeures de notre temps. C’est de ce sujet, celui de la mutation de la cybersécurité engendrée par développement de l’I.A dont il a été question lors de la conférence inaugurale de l’association Ilérienne Cyb-RI. En effet, présentée par un conférencier dont le nom reste bien connu dans les couloirs de l’ILERI, Nicolas MADRANGE, un ancien ilérien et ex-Président de Cyb-RI, il est diplômé d'un Master en Management des Risques, Sureté Internationale et Cybersécurité. Il travaille désormais pour WISE-Partners en tant qu'Information Technology Security Consultant.

Pour comprendre la Cyber Défense et sa corrélation à l’Intelligence artificielle, il faut essayer de décrypter ce qu’elle est en premier lieu. La Cyber Défense est une discipline de la cybergerre Elle a pour but de protéger les états dans le cadre de conflits dans le cyberespace. Comme l’indique le ministère des Armées sur leur site internet : « la cyberdéfense est un enjeu majeur (..) ». En effet, elle est exclusivement étatique en considérant qu’elle a été érigée au rang de priorité nationale et vise des problématiques majeures en matière de sécurité et de défense au niveau gouvernemental. Mais qu’est-ce qu’une Intelligence Artificielle ? C’est un terme plutôt curieux, nouveau, voire mystérieux pour les néophytes en la matière. Les Intelligences Artificielles sont décrites comme étant des lignes de code -ou algorithmes- qui exécutent des tâches uniques, des mono-tâches, et surtout elles ne sont pas dotées de conscience. Il existe deux types d’I.A différentes : il y’a donc celles qui fonctionnent sous machine Learning et d’autres avec le deep Learning. La puissance d’une I.A se mesure à son stockage.

Tout d’abord, il est important de comprendre que la ressource la plus importante lors d’une attaque pour un hacker c’est le temps. Là est la clef. Lors d’une attaque, l’I.A va permettre de gagner un temps précieux. Comment ? L’I.A aide à rechercher des failles plus efficacement car les tâches sont automatisées afin de tester les failles soupçonnées -ou connues- tout en contournant les pièges que les défenseurs placent -tel des fromages sur des pièges à souris- et ce à grande ampleur et à grande vitesse. L’idée étant bien entendu d’effectuer ces opérations sous couvert d’anonymat. L’IA aide donc les attaquants à exploiter les failles plus intelligemment et plus vite sans se faire repérer. C’est en partie pourquoi l’IA est décrite par Elon Musk comme étant « potentiellement plus dangereuse que les armes nucléaires » (source?).

Un des objectifs d’une attaque est de réussir à atteindre l’A.D, c’est à dire l’Active Directory, qui contrôle les accès au système d’information. Il est une sorte d’annuaire qui contient tous les logins et tous les mots de passes des utilisateurs du réseau. Lorsque l’intru accède à ce système sensible, il peut par exemple obtir ce qu’on appelle un « Golden Ticket », soit la possession d’un droit indestructible pendant 2 ans, permettant d’avoir accès aux données de l’A.D, et ce même s’il y’a eu une réinitialisation complète du système. Bien sûr, y parvenir est relativement complexe (mais jamais impossible) et nécessite le plus souvent de trouver une faille de sécurité en bas de l’échelle des pouvoirs, et de monter « en privilège » progressivement jusqu’à l’AD. Une fois au sommet, il n’y plus aucun moyen de savoir qu’il y’a eu intrusion, car le hacker n’a plus qu’à se créer un « Shadow Golden Ticket », sorte de double secret des clefs pour opérer dans l’ombre. Ce phénomène d’attaque caché est plus fréquemment nommé une « dormance », ou un « APT » (Advanced Persistent Threat) c’est à dire le phénomène d’intrusion dans un réseau et le fait d’y rester plusieurs mois sans être repérer comme étant intrus. Cela a énormément d’avantages pour l’attaquant, notamment en termes d’intelligence économique.

Et du côté des défenseurs alors ? Rappelons comment fonctionne un anti-virus : il dispose d’une base de données contenant des Indicateurs de compromission - ou « IOC » -, qui sont des fragments de codes connus comme étant fréquemment utilisés dans les virus. Sitôt un tel fragment repéré, l’anti-virus mettra en quarantaine le programme. Mais l’IA peut faire ce qu’il est couramment appelé de la défragmentation totale, ce qui va de facto empêcher un anti-virus de reconnaitre des fragments de virus connus. Soit dit en passant, un bon pare feu bien programmé est plus efficace qu’un anti-virus, mais c’est une autre histoire. Toutefois, si les hackers naviguent et attaquent sous couvert d’anonymats, ils sont souvent fiers, impertinents, et font l’effort, la plupart du temps, de signer leur attaque : les « IOC » sont le seul moyen d’imputer une attaque à un groupe de hackers.

Enfin, L’I.A. peut également détecter si un programme a un comportement suspect. Typiquement, des clics de souris s’enchaînant à grande vitesse avec une précision chirurgicale ne peuvent être opérées par un humain. Dès lors, l’IA signale au SOC -Security Operation Center- la manœuvre et les procédures de défenses peuvent s’enclencher plus rapidement. Aussi, la Purple team se sert de cette intelligence afin de prévoir les attaques sur la base de modèles statistiques.

Par Maéva BRAHMI,
étudiante en 1ère année de Relations Internationales à l'ILERI et membre de Cyb-RI,
Avec l'aide de Marius CAMPOS, étudiant en 3ème année de RI à l'ILERI et Président de Cyb-RI,
10/10/2019

LEXIQUE :

MACHINE LEARNING : Machine Learning, ou apprentissage automatique, capable de reproduire un comportement grâce à des algorithmes, eux-mêmes alimentés par un grand nombre de données. Confronté à de nombreuses situations, l'algorithme apprend quelle est la décision à adopter et créé un modèle. La machine peut automatiser les tâches en fonction des situations.

DEEP LEARNING: Le Deep Learning est un apprentissage en profondeur. Il va chercher à comprendre des concepts avec davantage de précision, en analysant les données à un haut niveau d'abstraction. Et ce grâce à une compréhension non linéaire. Son fonctionnement s'apparente à celui du cerveau. Dans un réseau de neurones, des couches successives de données sont combinées pour apprendre les concepts. Les réseaux les plus simples ne présentent que deux couches : une d’entrée et une de sortie, sachant que chacune peut disposer de plusieurs centaines, milliers, voire millions de neurones. Plus elles augmentent, plus la capacité du réseau à apprendre des représentations de plus en plus abstraites se développe.

SHADOW : Un Shadow désigne des systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.

IOC : Un IOC est un artefact observé sur un réseau ou dans un système d'exploitation qui indique une intrusion informatique

SOC : Un centre d’opérations de sécurité (Security Operations Center, SOC) regroupe une équipe de sécurité de l’information chargée de surveiller et d’analyser en permanence la sécurité d’une organisation. L’équipe SOC a pour objectif de détecter, d’analyser et de réagir aux incidents de cybersécurité en combinant des solutions technologiques et un ensemble de processus performant.

BLUE, RED, PURPLE TEAM : Equipes de hackers qui jouent différents rôles pour simuler une attaque et une réponse défensive afin d’améliorer les défenses d’une société. La Blue Team prend le rôle est responsable de la défense, la Red Team de l’attaque, et la Purple Team fait le lien entre les deux en utilisant les renseignements obtenus auprès de chacune pour maximiser l’efficacité de celles-ci.

#Cybersecurite #IA #IntelligenceArtificielle #Hacker #Hacking #Cyberdefense #AI #DeepLearning #MachineLearning #Strategie #Cyber #Defense #Cybercriminalite #Technologies #Tech #Numerique #SSI #France #ILERI
Source : https://www.oracle.com/fr/cloud/deep-learning-intelligence-artificielle.html