Avec l'IA, la cybersécurité a une nouvelle alliée

L'exfiltration de données sensibles réalisée par le lanceur d’alertes Edward Snowden au détriment de la CIA en 2013, les vols de cartes bancaires des clients du distributeur américain Target ou encore le piratage de films et de la messagerie de Sony Pictures en 2014… Autant de failles de sécurité informatique qui ont défrayé la chronique ces dernières années. Celles-ci auraient pu être évitées si les installations piratées avaient eu recours à une cybersécurité dopée à l’intelligence artificielle (IA) ! En se combinant avec ces technologies, la cybersécurité pourrait faire un bond en avant prodigieux. De quoi exaucer les rêves les plus fous des responsables de la sécurité des systèmes d’information : stopper des cyber­attaques élaborées et celles qui exploitent des vulnérabilités découvertes par des pirates, mais encore inconnues de la communauté informatique. Les solutions actuelles, fondées sur les antivirus et les pare-feu, n’arrêtent que les menaces qu’elles connaissent : virus à partir d’une signature répertoriée ou logiciel malveillant à partir d’un extrait de lignes de code propres. Au-delà, les cyberpirates qui conçoivent des attaques sophistiquées et sur mesure en fonction du profil de leurs cibles – les fameuses APT (advanced persistent threat) dans le jargon cyber –, agissent dans les réseaux de manière quasi indétectable. Pour le moment…

L’une des branches les plus prometteuses de la cybersécurité à base d’IA est l’UBA (user behavior analytics). Il s’agit de connaître finement le fonctionnement d’un réseau ou le comportement d’un utilisateur, pour réagir au plus vite en cas d’anomalie. Typiquement, si un important volume de données sort du réseau en dehors des horaires habituels, l’IA pourra émettre une alerte. Ou encore si le mot de passe d’un utilisateur est frappé moins vite qu’en temps normal (du fait d’hésitations par exemple) ou depuis un nouvel ordinateur, cela pourra révéler le vol des identifiants de sécurité du véritable titulaire. L’éditeur britannique Darktrace, fondé par des chercheurs de l’université de Cambridge, a été l’un des pionniers à faire appel à l’IA avec des produits disponibles sur le marché dès 2013.

Très précieux jeux de données

"Notre logiciel analyse en temps réel le comportement d’un réseau en se fondant sur environ 350 paramètres. Cet outil s’autoconfigure pour chaque client", explique Hippolyte Fouque, son porte-parole en France. Appliquant un principe similaire, certaines solutions du marché ont mis en échec le virus Wannacry qui avait touché des milliers d’entreprises en 2017. "Chez nos clients, le virus a pu être mis en quarantaine avant de faire des dégâts. Des signaux faibles ont permis de détecter une activité anormale : le volume inhabituel d’e-mails reçus, des process informatiques qui se lancent sans raison… ", indique Jean-Nicolas Piotrow­ski, le fondateur d’iTrust, une société de cyber­sécurité implantée à Toulouse (Haute-Garonne).

De nombreux éditeurs de produits de cybersécurité revendiquent avoir étoffé leurs solutions avec de l’IA. Ils peuvent remercier les grands acteurs de la high-tech américaine, les Gafa (Google, Amazon, Facebook, Apple), et également IBM, qui y ont investi des sommes considérables. Ils ont mis à disposition gratuitement leurs principales librairies de moteur d’intelligence artificielle : Tensorflow pour Google, Torch pour Facebook, SystemL pour IBM… De quoi permettre aux acteurs de la cybersécurité de concevoir leurs propres algorithmes d’apprentissage automatique de détection de cyberattaques. Depuis, l’offre s’est enrichie. Le cabinet CN Insights avait déjà identifié, en juin 2017, pas moins de 80 sociétés exploitant l’intelligence artificielle, dont deux valorisées à plus de 1 milliard de dollars. Ces dernières investissent tous les segments de la sécurité informatique : de la détection de fraude en ligne en passant par la sécurisation des objets connectés, l’usurpation d’identité numérique et les recherches de vulnérabilité via les applications pour terminaux mobiles.

"Gare à l’IA washing", prévient toutefois le directeur de l’innovation chez Wallix, Henri Binstock. L’éditeur français s’est spécialisé dans la détection des cyberattaques à partir de l’usurpation des comptes d’utilisateurs à privilèges. L’effort n’est pas anodin. La société mobilise une poignée d’experts depuis plus d’un an pour sortir une version de son offre enrichie d’IA. L’intelligence artificielle, reposant sur la capacité d’apprendre de la machine, nécessite de l’alimenter en données à la fois pertinentes et en grand nombre. Or, s’il est facile de lui apprendre à reconnaître un chat en la gavant d’images qui représentent ou non des chats, il est plus difficile de lui apprendre à reconnaître une cyberattaque. "C’est plus complexe d’avoir la trace d’une cyberattaque que l’image d’un chat", commente l’expert de Wallix. Des initiatives existent pour mettre la main sur ces précieux jeux de données codant une cyberattaque. Les éditeurs envisagent de faire appel aux plates-formes de bug bounty : elles mettent au défi des hackers éthiques de trouver des failles dans un système informatique. Elles récupèrent de précieux jeux de cyberattaques. D’autres acteurs sont aux premières loges pour les récupérer. Comme l’opérateur Orange qui assure la surveillance des réseaux de 80 entreprises en France et dans le monde. Ses centres de cybersécurité collectent ainsi quotidiennement 27 milliards d’événements informatiques, correspondant à 2 000 attaques potentielles par mois.

IA contre IA

Autre parade : se spécialiser sur des créneaux précis pour réduire le nombre de données nécessaires d’apprentissage. Grâce à une collaboration avec le FBI, le japonais Trend Micro a développé une offre de détection d’e-mails malveillants ciblant les directions financières. "À base d’une solution de machine learning, nous avons établi une sorte d’ADN de ce type de messages fondé sur la récurrence de certains motifs au sein même du message, mais également des serveurs informatiques relais qui les émettent", détaille Loïc Guézo, stratégiste en cybersécurité pour Trend Micro. Si prometteuse soit-elle, l’IA soulève de nombreuses questions. "Ces systèmes intelligents peuvent être la cible de nouvelles classes d’attaque qui visent à les tromper ou influencer leur comportement", avertissent les chercheurs qui organisent la conférence de cybersécurité C&esar qui réunit chaque année les principaux acteurs français gouvernementaux, industriels et académiques. Son côté boîte noire, qui produit des résultats sans que l’on sache réellement comment ils sont obtenus, interpelle. "Le manque d’explicabilité des prises de décision et la difficulté à analyser leur comportement peuvent présenter un risque", renchérissent-ils.

Les experts ont déjà démontré qu’une IA pouvait être trompée… Notamment dans la reconnaissance d’objet dans une image. Il suffit de modifier quelques pixels bien précis représentant un panda pour faire croire à une intelligence artificielle qu’elle voit un gibbon ! Le principe est le même pour une cyberattaque. L’attaquant peut passer sous les radars d’une IA s’il laisse derrière lui les "bonnes" traces informatiques. Enfin, l’IA peut se retourner contre la cybersécurité. "Avec un tel outil, un pirate peut rapidement cartographier des vulnérabilités d’un réseau et diffuser un virus virulent de manière très efficace", soulève Thierry Berthier, chercheur en cyberdéfense et cybersécurité à l’université de Limoges et copilote du groupe de travail sécurité-intelligence artificielle au sein du Hub France IA. C’est alors IA contre IA. La Darpa, l’agence de recherche des militaires américains, finance de larges travaux dans ce domaine. À l’heure des algorithmes d’intelligence automatique, la course technologique entre les cybervoleurs et les gendarmes numériques n’est pas près de s’arrêter.

Sélectionné pour vous

14,5 millions d’euros : c’est le montant de la levée de fonds réalisée par Black Tiger

Après l'incendie d'OVH, comment sécuriser ses données dans un datacenter

[Révolution data, 1/4] La collecte des données