L’intelligence artificielle, nouveau front « terrifiant » dans la cyber-guerre
Du fuzzing au spear phishing, les hackers ont des outils plus intelligents à leur disposition ; la Direction de la cybersécurité israélienne établit des directives de protection
Lorsque le PDG d’une entreprise a été interviewé à la télévision l’année dernière, un groupe de pirates informatiques qui suivait le PDG a enregistré l’interview et a ensuite appris à un ordinateur à imiter parfaitement la voix du PDG – afin qu’il puisse ensuite donner des instructions crédibles pour un transfert de fonds à une tierce partie.
Ce piratage par « phishing vocal » a mis en lumière les capacités croissantes des technologies basées sur l’intelligence artificielle à perpétrer des cyber-attaques et des cyber-crimes.
En utilisant un nouveau logiciel basé sur l’IA, les pirates ont imité la voix de plusieurs hauts responsables d’entreprises dans le monde entier et ont ainsi donné des instructions pour effectuer des transactions pour eux, comme des transferts d’argent. Le logiciel peut apprendre à imiter parfaitement une voix après seulement 20 minutes d’écoute et peut ensuite parler avec cette voix et dire des choses que le pirate tape dans le logiciel.
Certaines de ces tentatives ont été déjouées, mais d’autres hackers ont réussi à mettre la main sur des fonds.
« C’est une montée en puissance » des capacités des pirates informatiques, a déclaré la Direction de la cybersécurité israélien dans un mémo d’avertissement envoyé aux entreprises, organisations et individus en juillet, avertissant de la menace mais précisant qu’aucun événement de ce type ne s’était encore produit en Israël.
Lors d’une conférence sur la cybersécurité à Tel Aviv le mois dernier, des responsables ont mis en garde contre la menace croissante des pirates informatiques qui utilisent les outils d’IA pour créer de nouvelles formes d’attaques et provoquer de nouvelles menaces.
« Nous découvrons de plus en plus de défis dans les technologies émergentes, principalement dans l’intelligence artificielle », a déclaré Yigal Unna, le chef de la Direction nationale de la cybersécurité israélienne, lors de la conférence Cybertech 2020 le mois dernier. C’est le nouveau « terrain de jeu » des hackers, a-t-il dit, et c’est « le plus effrayant ».
L’intelligence artificielle est un domaine qui donne aux ordinateurs la capacité de penser et d’apprendre, et bien que le concept existe depuis les années 1950, il ne connaît qu’une résurgence rendue possible par la puissance de calcul supérieure des puces. Le marché de l’intelligence artificielle devrait croître de près de 37 % par an et atteindre 191 milliards de dollars d’ici 2025, selon le cabinet d’études MarketsandMarkets.
L’intelligence artificielle et l’apprentissage machine sont aujourd’hui utilisés pour un large éventail d’applications, de la reconnaissance faciale à la détection de maladies sur des images médicales, en passant par les compétitions mondiales dans des jeux tels que les échecs et le go.
Et comme notre monde est de plus en plus numérisé – tout, des appareils ménagers aux équipements hospitaliers, est connecté à l’Internet – les possibilités pour les pirates de perturber nos vies deviennent de plus en plus grandes.
Alors que les pirates informatiques passaient autrefois un temps considérable à chercher dans les lignes de code un point faible qu’ils pouvaient pénétrer, aujourd’hui les outils d’IA peuvent trouver des vulnérabilités à une vitesse beaucoup plus rapide, a averti Yaniv Balmas, responsable de la recherche cybernétique de la plus grande entreprise israélienne de cybersécurité, Check Point Software Technologies.
« L’IA, c’est essentiellement de l’apprentissage machine », a déclaré M. Balmas dans une interview au Times of Israel. « C’est un moyen pour une machine d’être capable de traiter de grandes quantités de données » que les humains peuvent ensuite utiliser pour prendre des « décisions intelligentes ».
Cette technologie est généralement utilisée pour remplacer « un travail manuel très, très intense », a-t-il déclaré. Ainsi, lorsqu’elle est utilisée de manière offensive par les pirates informatiques, elle « ouvre de nouvelles portes », comme ils peuvent maintenant faire en une heure ou un jour ce qui prenait auparavant « des jours, des semaines et des mois, des années à faire ».
Par exemple, en ciblant une application, l’objectif des pirates serait de trouver une vulnérabilité grâce à laquelle ils pourraient prendre le contrôle total d’un téléphone sur lequel elle est installée. « Avant l’avènement de l’IA », a déclaré M. Balmas, les pirates devaient examiner le code de l’application ligne par ligne.
Avec l’IA, une nouvelle technologie a été développée, appelée fuzzing, qui est « l’art de trouver les vulnérabilités » de manière automatisée. « Vous reproduisez le travail humain, mais vous l’automatisez », a déclaré M. Balmas, ce qui donne des résultats beaucoup plus rapidement.
Dans une étude, les chercheurs de Check Point ont utilisé le fuzzing pour trouver des vulnérabilités dans une application populaire, l’Adobe Reader. Des chercheurs humains auraient probablement pu trouver une ou deux vulnérabilités dans les 50 jours prévus pour cette tâche, alors que le technicien de l’IA fuzzing a réussi à trouver plus de 50 vulnérabilités durant cette période, a déclaré M. Balmas.
« C’est une quantité énorme », a-t-il dit, et « cela montre vraiment bien la puissance de l’IA ».
Les vulnérabilités ont été signalées aux créateurs de l’application et ont depuis été corrigées, a déclaré M. Balmas.
Le spear phishing en hausse
Les outils d’intelligence artificielle sont également déjà utilisés pour créer des campagnes de phishing extrêmement sophistiquées, a déclaré Hudi Zack, directeur général de l’Unité technologique de la Israel National Cyber Directorate, en charge de la cybersécurité civile de la nation.
Les campagnes traditionnelles de phishing utilisent des courriels ou des messages pour inciter les gens à cliquer sur un lien et les infecter ensuite avec un virus ou les amener à effectuer certaines actions.
Les utilisateurs sont aujourd’hui généralement en mesure d’identifier facilement ces campagnes et d’éviter d’y répondre, car les e-mails de phishing proviennent de personnes ou d’adresses inconnues et ont un contenu générique ou sans rapport avec le destinataire.
Aujourd’hui, cependant, des systèmes d’IA sophistiqués créent des « campagnes de harponnage très sophistiquées » contre des personnes « de grande valeur », telles que des PDG d’entreprises ou des fonctionnaires de haut rang, et leur envoient directement des courriers électroniques – parfois même ostensiblement de la part d’une personne qu’ils connaissent personnellement, et souvent avec un contenu très pertinent, comme un CV pour un poste qu’ils cherchent à pourvoir.
Pour ce faire, l’attaquant doit consacrer beaucoup de temps et d’efforts à apprendre le réseau social de la cible, à comprendre l’environnement commercial pertinent et à chercher des « accroches » potentielles qui feront croire à la victime qu’il s’agit d’un courriel pertinent » – en l’approchant pour des raisons commerciales réelles qui augmenteront les chances de succès de l’attaque, a déclaré Zack.
Un système d’IA sophistiqué permettrait à un attaquant de « réaliser la plupart de ces actions pour n’importe quelle cible en quelques secondes », et ainsi les campagnes de spear phishing pourraient viser « des milliers, voire des millions de cibles », a déclaré Zack.
Ces outils sont principalement entre les mains de pirates informatiques étatiques bien financés, a déclaré Zack, en refusant de mentionner lesquels, mais il a prévu qu’ils se répandent dans le temps à des groupes moins sophistiqués.
Malgré cela, la plus grande menace basée sur l’IA qui se profile à l’horizon est peut-être la capacité à interférer avec l’intégrité des produits intégrés aux technologies d’IA qui soutiennent des processus importants dans des domaines tels que la finance, l’énergie ou les transports.
Les systèmes d’IA, tels que les voitures, les trains ou les avions automatisés, par exemple, « peuvent prendre des décisions meilleures et plus rapides et améliorer la qualité de vie pour nous tous », a déclaré M. Zack. D’un autre côté, le fait que les machines agissent désormais de manière indépendante, « avec une capacité limitée pour les humains de superviser et, si nécessaire, d’annuler leurs décisions, les rend susceptibles d’être manipulés et trompés ».
La plupart des systèmes d’intelligence artificielle utilisent des mécanismes d’apprentissage automatique qui reposent sur les informations fournies à ces machines.
« Un attaquant sophistiqué » pourrait détourner ces mécanismes d’apprentissage de la machine pour « faire basculer les décisions informatiques afin d’obtenir l’impact malveillant souhaité », a déclaré Zack.
Les pirates peuvent également « infecter » les données introduites dans la machine pendant sa phase d’entraînement pour modifier son comportement ou créer un biais dans les résultats.
Ainsi, un système basé sur l’IA qui approuve les prêts pourrait apprendre frauduleusement à les approuver même si le statut de crédit du client n’est pas bon ; un système de sécurité basé sur l’IA qui utilise la reconnaissance faciale pourrait être empêché d’identifier un terroriste connu ; un système de distribution d’électricité pourrait être chargé de créer une distribution de courant déséquilibrée, provoquant des pannes de courant à grande échelle.
Tous ces changements potentiels « servent vraisemblablement les objectifs de l’adversaire », a déclaré Zack.
Ce genre d’attaque sophistiquée est « plus académique et théorique pour le moment », a déclaré Balmas de Check Point. « Mais je pense que c’est vraiment quelque chose à laquelle nous devrions prêter attention. Parce que cette technologie progresse vraiment, vraiment très vite. Si nous nous endormons pendant la garde, nous pourrions nous retrouver dans une situation délicate ».
Zack de la Direction de la cybersécurité a convenu que ce type d’attaque n’a pas encore été vu sur le terrain. « Nous n’en sommes pas encore là », a-t-il déclaré. « Mais il y a certainement une inquiétude à ce sujet, et cela pourrait se produire dans les années à venir, lorsque les systèmes d’IA se généraliseront dans notre utilisation quotidienne. »
Pour se préparer à ce scénario, la Direction de la cybersécurité établit actuellement des lignes directrices à l’intention des entreprises et des entités qui développent des solutions basées sur l’IA afin de s’assurer qu’elles intègrent des solutions de cybersécurité dans leurs produits.
« Les lignes directrices établiront des critères » pour garantir la résilience des produits d’IA que les entreprises utilisent ou développent, « surtout si le système touche le grand public », a déclaré M. Zack.
Les entreprises ne sont pas encore conscientes du risque et, outre l’ignorance, il existe des considérations économiques. « Tout le monde veut être le premier sur le marché », et la sécurité n’est pas toujours une priorité suffisante lors de la création d’un produit, a-t-il déclaré.
En vérité, la menace de l’IA est encore naissante, a-t-il dit. Mais il sera très difficile de mettre à niveau les systèmes une fois qu’ils auront été développés et déployés.
Les systèmes de défense du monde entier intègrent déjà des moyens d’IA pour combattre les attaquants utilisant l’IA, et des entreprises comme Check Point en font partie.
« Nous utilisons les outils d’IA pour trouver les vulnérabilités et nous utilisons les outils d’IA pour comprendre comment les logiciels malveillants et autres attaques fonctionnent réellement », a déclaré M. Balmas.
« Pour permettre à un système de défense basé sur l’IA de mener cette bataille contre un attaquant utilisant l’IA, il faudra un ensemble de capacités totalement nouvelles du système de défense », a déclaré Zack de la Direction de la cybersécurité. Et des attaques de plus en plus sophistiquées feront passer les cyber-batailles qui s’ensuivront de « jeux d’esprit entre humains à des batailles de machine à machine ».