Des Cybercriminels MachIAvéliques ! L’IA offensive face à l’IA defensive.

IA offensive contre IA défensive : pourquoi ce sujet est-il à la une des préoccupations, non seulement des experts, des chercheurs mais aussi des entreprises et des citoyens ? Pourquoi l’IA générative (au service de l’IA offensive) semble-t-elle décupler la puissance des cybercriminels de manière incontrôlable tant leurs attaques sont sophistiquées et évolutives ? Quelles sont les spécificités de cette criminalité numérique ? Qui est concerné, dans quelle mesure et comment s’en prémunir ? Finalement, le contexte actuel, indéniablement propice à la cybercriminalité, ne nous impose-t-il pas de changer drastiquement les modalités de défense en œuvre ?

Une contribution de Dr Sylvie Blanco, Professor Senior Technology Innovation Management à Grenoble École de Management (GEM) & Dr. Yannick Chatelain Associate Professor IT / DIGITAL à Grenoble École de Management (GEM) & GEMinsights Content Manager.

 

Depuis des dizaines d’années, le numérique s’immisce dans toutes les sphères de nos vies et de nos objets. Cela a démarré avec la démocratisation de l’informatique via l’ordinateur d’abord centralisé puis personnel, puis relié à Internet et sa puissance de communication. Ensuite, de nombreux objets et systèmes sont devenus numériques, interactifs et connectés comme les voitures pour maintenant, avec l’avènement de l’IA notamment, permettre le développement de systèmes intelligents qui placent la data au centre de tout développement, économique, social et environnemental. Ainsi, si les cartes de crédit et le paiement en ligne sont une cible privilégiée des cybercriminels, le champ des potentiels n’a de cesse de s’élargir. Par exemple, en 2011, Alex Wright décrit comment une équipe de chercheurs a pris le contrôle du flux vidéo de caméras de voitures de police et en 2022, Paul Marks questionne la possibilité que les stations de recharge de véhicules électriques constituent un point d’entrée facile pour s’attaquer aux flux énergétiques. Récemment, ce sont les élections, la sécurité publique, la démocratie ou encore le journalisme qui sont apparus particulièrement vulnérables face au phénomène des deepfakes (hypertrucages d’images, de texte, d’audio, de vidéos). ( cf. Autopiégés par les deepfakes : où sont les bugs ?)

Dans ce contexte, nous assistons à une révolution spectaculaire du domaine de la cybersécurité qui doit s’adapter à une cybercriminalité IA qui devient aussi agile que « débridée ». Pour nombre d’experts, l’avantage est du côté des criminels, qui bénéficient de la rapidité de l’évolution technologique (en particulier l’IA ces dernières années), de l’invasion numérique (supply chains, télétravail, objets connectés, chatbots) et de l’infinité du champ des applications, et de la facilité d’étendre à grande échelle un système cybercriminel. Il y a un foisonnement d’attaques à l’aveugle selon des procédés connus, réalisables sans beaucoup de compétences et d’attaques ciblées et jamais observées, à très fort impact !

Du côté de la cybersécurité, l’IA est aussi une arme contre les cybercriminels, mais l’approche est  naturellement réactive, c’est-à-dire post-attaque, et montre ses limites face à l’abondance, la nouveauté et la diversité des attaques « agiles ». C’est en cela que l’on parle d’IA offensive, mise en œuvre par des cyber délinquants à des fins de nuisances face à l’IA défensive, à des fins de réagir en temps réel pour bloquer les attaques.

IA générative et cybercriminalité, deux exemples marquants :

L’IA générative, sous partie de l’IA est très utilisée dans l’IA offensive, décryptons deux exemples marquants d’utilisation de l’IA générative par les cybercriminels.

• L’exemple Harmonie Mutuelle : Phishing évolué.

Outre les attaques ciblant les hôpitaux et plus largement les datas santé où qu’ils se trouvent, les opérations de phishing gagnent de façon exponentielle en qualité et en quantité ciblant des institutions publiques. Les attaques de Phishings ciblant Harmonie mutuelle (organisme d’assurance…… ???) sont devenues « incessantes », ciblées, marketées (cf. Préoccupation sociale). En voici un exemple :

 

Il est important de noter l’émetteur, derrière le lien Harmonie mutuelle, dont l’adresse est  [email protected], une adresse « bidon » !

On peut aussi noter que ce qui concerne l’item « Voir dans un navigateur » ou les autres liens proposés, l’URL est : https://tr.info.harmonie-mutuelle.fr/hit/HMUT/02C/gz/-2jHd6D-…  Elle mène l’usager vers un site « copy cat » renforçant la crédibilité du mail…. Enfin, fini les fautes d’orthographe, les arguments « grossiers »…  pour qui ne sait que ces organismes n’interagissent que sur leurs sites, les pièges sont d’une élaboration machIAvélique.

• L’exemple de l’Arnaque au Président version IA.

Avant d’évoquer d’autres menaces liées à l’IA offensive, pour que chacun et chacune prennent la mesure  des choses, les deepfakes sont de plus en plus élaborés, et ce jusqu’à l’impensable. Ainsi le quatre février 2024, « À Hongkong, un employé d’une multinationale a ainsi transféré l’argent à la demande de son « supérieur » lors d’une visioconférence », le « malheureux » était dans cette histoire le seul personnage réel de cette visioconférence, le reste des participants avaient été créés par l’IA.

IA offensive VS IA défensive, la cybersécurité change de paradigme  :

Si l’IA générative permet d’améliorer des actes délictueux préexistants, cette sous-partie de l’IA n’est qu’une partie émergée de l’iceberg. Elle ne saurait occulter une utilisation plus holistique d’autres catégories d’IA, à des fins offensives très agressives. Si comme dit le fameux adage « Knowledge is Power » les entreprises comme les particuliers vont devoir apprendre très vite. 

• De l’IA offensive :
  

Selon Statistita les coûts liés aux cybercrimes devraient atteindre les « 13.82 milliards de dollars en 2027, avant un nouveau pic en 2028 ».  Pour faire « mentir » les chiffres la montée en puissance des entreprises en matière de défense IA n’est pas une option. Pour ce qui concerne la France, la même source estime qu’en 2023 environ 30% des entreprises ont été la cible d’une à trois cyberattaques durant les 12 derniers mois. (NDLA. Il ne s’agit là que d’attaques recensées). Statista répertorie par ailleurs les attaques les plus usuelles dont ont été victimes les entreprises françaises en janvier 2023 : « Most common types of cyber crime-related incidents encountered by companies in France as of January 2023 ». Le top 3 :

1. 38 % des experts en sécurité informatique des entreprises françaises ont identifié la négligence ou l’erreur de manipulation ou de configuration par une partie interne comme le problème de cybercriminalité. Les types d’attaques possibles sont alors multiples : Phishing interne, Ingénierie sociale…
2. 37% des personnes interrogées, était les vulnérabilités résiduelles permanentes, elles font référence aux failles de sécurité persistantes dans les systèmes informatiques ou les infrastructures, qui sont difficiles à éliminer complètement malgré les efforts déployés pour les corriger. Les vulnérabilités résiduelles permanentes peuvent être exploitées par des attaquants pour compromettre la sécurité des systèmes, accéder à des données sensibles, perturber les opérations commerciales ou causer d’autres dommages. Elles représentent donc une menace permanente pour la sécurité de l’entreprise. 
3. 35 % d’entre elles le signalant la mise en œuvre ou l’utilisation d’applications non approuvées, également appelées shadow-IT. Ce sont des logiciels et services non approuvés qui d’une part peuvent ne pas respecter les normes de sécurité de l’entreprise, exposant ainsi les données sensibles à des risques de violation ou de fuite. D’autre part, ces applications peuvent également contenir des vulnérabilités qui pourraient être exploitées par des cybercriminels.Ce sont des logiciels et services non approuvés qui d’une part peuvent ne pas respecter les normes de sécurité de l’entreprise, exposant ainsi les données sensibles à des risques de violation ou de fuite. D’autre part, ces applications peuvent également contenir des vulnérabilités qui pourraient être exploitées par des cybercriminels.

Il est à noter que l’IA offensive ne se limite pas au plus « spectaculaire » que nous évoquions pour attirer votre attention (cf. Phishing évolué / Arnaque au Président version IA). L’IA offensive nourrit des ambitions démesurées : attaquer le cloud, déjouer des méthodes défensives des plus grands acteurs du numérique et de tous les acteurs détenteurs de données sensibles ! Nous pensons en écrivant ces mots à la dématérialisation accélérée des données de santé liés à la crise COVID, à tous les acteurs de santé, hôpitaux, institutions, etc.  Ils figurent parmi les cibles prioritaires et régulières. Pour rappel, le 28 février 2024 ce sont quelques 300 000 patients qui ont vu leurs données informatiques être volées lors d’une cyberattaque contre l’hôpital d’Armentières (Nord).

D’autres cibles sont plus « temporelles » ainsi, pour des événements majeurs comme les JO ce sont plus de 4 milliards de cyberattaques qui sont prévues. Dans le cadre d’une volonté de désorganisation des jeux, selon nous, les hackers d’États cibleront probablement des acteurs périphériques « moins » protégés : logistique, transports, etc. quant aux escrocs, les attaques cibleront et ciblent déjà, (cf : « Jeux Olympiques 2024 : attention aux arnaques« )  les billetteries, les hébergements, etc.    Un journaliste nous demandait récemment s’il y avait des « trous dans la raquette », que dire ? L’expression est distrayante, que répondre quand la raquette ressemble à une passoire  ….  Le combat qui s’annonce va être rude, un véritable crash test.

• Une IA offensive peut exploiter les failles internes de sécurité de plusieurs manières :

1. Identifier les vulnérabilités.
2. Automatiser l’exploitation des failles.
3. Propager quoi. rapidement à travers le réseau.
4. Éviter la détection en adaptant ses comportements.
5. Mener des attaques ciblées sur des parties spécifiques de l’infrastructure.

 Les entreprises doivent être pleinement conscientes des risques évolués qui les menacent, quantitativement et qualitativement, elles doivent prendre des mesures proactives pour se protéger. Ces mesures passent naturellement par une formation interne régulière des salariés pour qu’ils ne soient pas des points d’entrée des attaques, et qu’ils deviennent des acteurs à part entière de la cybersécurité, en adoptant les bons réflexes.

• De l’IA Defensive

. Une IA défensive a pour prérogatives principales l’agilité, la proactivité, l’anticipation, l’apprentissage…

1. Détecter les menaces.
2. Analyser des comportements.
3. Prévenir des attaques.
4. Répondre automatiquement aux incidents.
5. Attribuer les menaces.
6. Renforcer la sécurité des données
7. Apprendre continuellement et s’adapter.

En matière d’IA défensive, des prestataires existent et sont vraisemblablement appelés à se multiplier. Ils investissent massivement en R&D pour rester à la pointe de la défense contre les cybermenaces, en utilisant l’IA comme un élément clé de leurs solutions de sécurité. Leur objectif : avoir des approches proactives, liées aux à l’instar de :     CrowdStrike, Darktrace, BlackBerry Cylance, FireEye, Broadcom, Palo Alto Networks, Cisco … Pour faciliter un choix pertinent du ou des prestataires, une première étape pour les structures peut consister à recenser les attaques dont elles ont déjà pu faire l’objet, cela peut les aider à prioriser leurs choix, tout comme les prestataires seront à même de pointer des risques déjà rencontrés dans le secteur concerné. Nous invitons par ailleurs nos lecteurs et lectrices à prendre connaissance de la Doctrine militaire de lutte informatique offensive (LIO) et de la politique ministérielle relative à la lutte informatique défensive (LID).

Outre les nouveaux outils qu’il faudra déployer pour protéger au moins mal nos entreprises et institutions des dangers liés à l’IA utilisée à des fins criminelles, plusieurs mesures « anciennes » restent de mise :  

1. Le b.a.-ba est d’avoir des logiciels à jour, dernière version, et mis à jour au rythme des failles Zéro Day* (*toute vulnérabilité d’un logiciel ou d’un système d’exploitation pour lequel aucun correctif n’a encore été publié) pouvant être découvertes par des whites HAT .
2. Renforcer la sécurité informatique en utilisant des systèmes de protection avancés tels que les pare-feu, les antivirus et les logiciels de détection des intrusions.
3. Les entreprises et les institutions doivent investir dans la formation de leurs employés pour qu’ils soient conscients des risques potentiels et des bonnes pratiques en matière de sécurité informatique.
4. Il est également important d’établir des politiques de sécurité strictes, telles que l’utilisation de mots de passe complexes et le chiffrement des données sensibles.
5. Enfin, la collaboration entre les entreprises, les gouvernements et les organismes de réglementation est cruciale pour lutter contre la cybercriminalité et les dévoiements les plus terribles: Ensemble, ils peuvent partager des informations sur les menaces potentielles, développer des stratégies communes et élaborer des lois et des réglementations adaptées à l’ère numérique afin de protéger nos institutions et données sensibles.

Pour conclure.

L’IA est une formidable opportunité pour notre humanité, les progrès qu’elle peut apporter dans de multiples domaines dont la santé sont indéniables, même si les réglementations, la confidentialité demeurent un frein… c’est aussi un monstre qui a été lancé sans véritables garde-fous, sans avoir anticipé ses dévoiements possibles, comme si, ce que nous étions censés avoir appris de l’Internet, n’avait servi à strictement rien. Sa puissance peut faire basculer notre monde, c’est un monstre qu’il va falloir tenter et réussir à apprivoiser ! Une personne nous disait hier « les gens qui sont contre l’IA me font penser à ceux et celles qui étaient contre l’imprimerie » : il est bien difficile d’argumenter face à une telle posture. L’IA, à la différence de beaucoup de « révolutions technologiques » que l’humanité a créées et intégrées avant d’en subir les effets indésirables voulus ou pas,  est d’une puissance de destruction potentielle massive, parce qu’elle ne cesse d’apprendre, et peut ipso facto gagner en autonomie, elle peut se révéler dès lors bien supérieure à la bombe nucléaire qui demeure, jusqu’à ce jour… sous « contrôle » ! 

« Les formes primitives d’intelligence artificielle que nous avons déjà se sont montrées très utiles. Mais je pense que le développement d’une intelligence artificielle complète pourrait mettre fin à l’humanité, une fois que les hommes auraient développé l’intelligence artificielle, celle-ci décollerait seule, et se redéfinirait de plus en plus vite (…) Les humains, limités par une lente évolution biologique, ne pourraient pas rivaliser et seraient dépassés. »

Hawking

 

---

À lire également : Intelligence artificielle, la ressource des RH