L’IA, une révolution dans le domaine de la cybersécurité — Partie 1 — Thierry Berthier

Thierry Berthier est expert pour AI For Tomorrow et dirige le groupe “Sécurité, Intelligence Artificielle, Robotique” du Hub France IA. Il est chercheur et consultant en cybersécurité et cyberdéfense.


Cet article est le premier d’une série d’articles traitant de cybersécurité et d’IA.




La notion de cybersécurité

La cybersécurité n’est pas née hier, elle est née avec l’informatique : les premiers virus, marquant le début de la malveillance numérique, datent des années 60 [1].


A l'époque, les virus n'étaient pas du tout les mêmes que ceux d'aujourd'hui: ce qu'on observe est qu'une nouvelle attaque émerge dès qu'il y a nouveau système informatique. Quand il n'y avait pas de réseau, cela passait par les disquettes et les virus s'échangeaient de main à main par les jeux. Le taux de transmission était plus faible qu'aujourd'hui.

Le début d'internet a impliqué une explosion de la diffusion des virus et malwares (logiciels malveillants). Cela n'a fait que croître depuis trente ans et aujourd'hui il existe une totale industrialisation de la cybercriminalité, qui est le pendant de la cybersécurité. Le terme de cybersécurité implique ainsi aussi celui de cyber-insécurité du côté des cibles et victimes d'attaque.


En terme de risque à l'échelle mondiale, le risque cyber est la 3e économie du monde en dollars après celle de la Chine et des US [2]. Cela représente plus que tout le trafic de stupéfiants du monde entier [3]. La cybersécurité rapporte plus aux attaquants - à la criminalité - que l'ensemble du trafic de stupéfiants. Ainsi, la plupart des mafias se sont dirigées ces dernières années vers les attaques en ligne [4]. En plus d'une opportunité importante au niveau du gain, ce type d'attaque menée à distance la rend bien moins risquée qu'un casse dans une banque par exemple, et le ticket à l'entrée est faible: beaucoup de malwares et de charges virales sont disponibles à très bas prix sur le dark web, parfois même gratuitement. Il n'est pas nécessaire d'être développeur pour mettre en œuvre une attaque: il y a une diffusion importante, contrairement aux armes classiques, des charges virales et malwares sur Internet; on les récupère et achète facilement. Aujourd'hui, avec 100$ vous pouvez organiser une attaque très destructrice envers une PME. Tout est disponible sur étagère [5].



Exemples d'attaques


Nous allons donner quelques exemples d'attaques dans cette partie. Certains groupes criminels structurés industrialisent et ont un business model particulier: ils organisent ces attaques afin de vendre des informations volées, ou bien demandent une rançon en échange de la réparation des dégâts de l'attaque.


Nous pouvons tout d'abord parler de l'attaque par ransomware: elle vient en général par la boîte mail. Un mail arrive de quelqu'un qui est a priori de confiance, ou qui ressemble à quelqu'un de confiance, il y a une pièce jointe ou un lien dans le mail et la personne recevant le mail clique sur ce lien ou pièce jointe. Ce clic déclenche une installation d'un exécutable ou d'un système qui s'exécutera plus tard. Au moment de l'exécution le fichier déploie une charge virale qui est une charge malveillante. En règle générale, le ransomware crypte toutes les données avec un algorithme de chiffrement cryptographique et l'utilisateur ne possède pas la clé de déchiffrement. En allumant l'ordinateur, une page rouge s'affiche et indique que la machine a été chiffrée et que, pour pouvoir récupérer ses données, il faut payer X bitcoins à telle adresse précisée. Cela arrive à des particuliers, parfois, mais surtout à des PME et TPE, et aussi à des grands groupes.

En Europe, 65% des entreprises payent la rançon pour récupérer leurs données [6][7]. En moyenne le préjudice représente 8M€ pour les entreprises américaines et dépasse 500 000 euros (hors rançon) pour les entreprises françaises en 2020 [8].

Certaines entreprises ne s'en relèvent pas. Pour une PME, cela peut représenter la perte de tous les fichiers clients, de tous les process. S'il n'y a pas de sauvegarde externe, c'est une catastrophe. Souvent, d'ailleurs, la sauvegarde est elle-même chiffrée: les ransomware modernes chiffrent d'abord la sauvegarde et ensuite le système. Les entreprises n'ont parfois pas d'autre choix que de payer.


Un autre exemple d'attaque est le DDoS (déni de service distribué). Le principe est que l'attaquant fait converger une très grande quantité de requêtes grâce à un réseau de machines "zombies", un botnet, qu'il a à sa disposition. Ces machines sont "recrutées" et peuvent être très diverses: d'un ordinateur peu sécurisé à un réfrigérateur connecté (sans protection particulière), en passant par une caméra de surveillance connectée. La machine ne s'arrête pas de fonctionner mais l'attaquant possède le contrôle sur cette dernière. Il se retrouve à la tête d'un botnet de 50 000 machines et les fait converger sur une cible: toutes ces machines envoient des requêtes via le réseau à une cible, un site web par exemple. Ce dernier se retrouve avec un trafic beaucoup plus important que la normale et se retrouve complètement submergé, noyé par la quantité de requêtes, s'il n'a pas de système anti-DDoS. Le service va donc s'arrêter. L'attaquant demande alors à ce moment-là une rançon pour arrêter de bloquer le site web.


Un dernier exemple est celui de l'exfiltration de données. Cela peut toucher les entreprises très innovantes, qui sont ciblées pour leur R&D notamment. L'attaque débute par un processus d'ingénierie sociale: une entreprise est ciblée et l'attaquant amasse de l'information à partir des données ouvertes (comprendre qui sont le chef, le sous chef, les ingénieurs, etc.). Par la suite, l'attaquant cible un salarié de l'entreprise - cela peut être n'importe qui. Il lui envoie des mails malveillants qui ont l'air légitimes et essayera de mettre un lien ou une pièce jointe sur lequel la personne va cliquer et qui contiendra une charge virale. Celle-ci s'introduit dans la machine et installe un exfiltreur, un logiciel espion qui exfiltre la donnée (spyware) sans se faire voir. Les attaquants peuvent être des délinquants qui veulent revendre l'information ou bien des groupes cybercriminels bien plus structurés qui fonctionnent sur commande [9].


Ces vols de données peuvent représenter des téraoctet d'information et sont soit revendus soit publiés sur le darkweb. Cela pose de vrais problèmes quand ces données sont confidentielles comme par exemple les données médicales de patients [10].

Ces attaques évoluent très rapidement et deviennent de plus en plus sophistiquées parce que, du côté de la défense, les entreprises mettent en place des outils permettant de limiter et de se protéger des attaques (firewall, protection physique, anti virus, supervision de son propre réseau afin de détecter les attaques).



Cybersécurité et IA


L'IA en cybersécurité est un outil qui peut être utilisé à la fois par l'attaquant mais aussi par la cible.

L'IA intervient par exemple pour suppléer la détection de logiciels malveillants: elle permet de gérer des attaques non considérées par l'antivirus. Revenons sur le fonctionnement d'un antivirus: c'est une technologie qui observe tout ce qu'il se passe dans un réseau et qui, dès qu'un exécutable s'exécute, compare ce dernier avec une base de virus connus. Si l'exécutable en question se trouve dans la base de virus, l'antivirus bloque la fonction. Dans ce type de supervision, par dessein, il y a souvent des faux positifs: l'antivirus bloque un exécutable que vous savez sûr.

La contrainte avec un anti-virus classique est qu'il faut régulièrement changer la base de virus. De la même manière, mais suivant une échelle plus importante, que pour les virus biologiques, il se crée des milliers de nouveaux virus numériques par jour.

Un antivirus fonctionnant sur une base de signature laissera passer les virus qu'il ne connait pas. L'IA permet de pallier ce problème grâce à une approche statistique: l'algorithme d'IA fait de l'apprentissage sur le système en "temps de paix" et crée un modèle de normalité (qui représente comment le système fonctionne en temps normal). Dès qu'un malware apparaît et commence à effectuer des traitements qui s'éloignent de ce qui est considéré normal (même si il est primo accédant, c'est-à-dire inconnu par le système), le système de supervision relève la différence et peut produire une alerte [11].


Donnons un exemple: reprenons la fameuse affaire Snowden [12]. Edward Snowden était agent à la NSA et informaticien. Il a exfiltré illégalement de grandes quantités de données secrètes qu'il a ensuite transmises aux journalistes. A l'époque, la NSA n'est pas parvenue à détecter l'attaque en tant que malveillance interne. Aujourd'hui, avec un système de supervision UEBA implanté sur le système d'information de la NSA, Edward Snowden n'aurait aucune chance de parvenir à sortir ces données sans provoquer des alertes. Le comportement anormal du point de vue statistique (connexions à des horaires creuses, téléchargement de beaucoup de données, provenant de répertoires classifiés) serait rapidement détecté.


Ainsi, avec l'opportunité offerte par l'intelligence artificielle, la cybersécurité devient data-centrée. L'IA permet une importante révolution dans ce domaine et nous étudierons plus en détail ses applications dans les prochains articles de cette série.


Lire sur Medium.


Thierry Berthier,

Expert AI For Tomorrow,

Chercheur et consultant en cybersécurité et cyberdéfense.


Références

[1] https://archive.org/details/malwaremuseum

[2] https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/

[3] https://www.bizjournals.com/buffalo/news/2019/06/05/cybercrime-is-bigger-than-the-drug-trade-why-small.html

[4] https://www.rolandberger.com/en/Insights/Publications/Cybercrime-is-becoming-the-mafia’s-newest-racket.html

[5] https://www.welivesecurity.com/fr/2019/02/01/services-dark-web/

[6] https://www.channelnews.fr/65-des-entreprises-francaises-visees-par-une-attaque-par-rancongiciel-versent-une-rancon-103006

[7] https://www.lesnumeriques.com/pro/face-aux-attaques-par-rancongiciel-les-cyber-negociateurs-entrent-en-scene-a163627.html

[8] https://www.usine-digitale.fr/article/etude-payer-la-rancon-multiplie-par-deux-le-cout-total-d-un-ransomware.N963736

[9] https://www.fireeye.fr/current-threats/apt-groups.html

[10] https://www.larep.fr/orleans-45000/actualites/pathologies-numeros-de-securite-sociale-les-donnees-medicales-de-patients-du-loiret-publiees-sur-internet_13919658/

[11] https://www.technology.org/2019/04/30/siem-ueba-and-soar-whats-the-difference/

[12] https://www.venafi.com/blog/deciphering-how-edward-snowden-breached-the-nsa