Chaque jour semble devoir rajouter un nouveau risque à la liste. C’est en tout l’impression qu’en ont les dirigeants d’entreprise et les spécialistes en sécurité informatique. Et on peut les comprendre à la lumière de l’actuelle vague de cyber-criminalité. Les cyber-criminels les plus pointus testent sans cesse de nouvelles méthodes pour s’immiscer dans les réseaux d’entreprise et dérober des données sensibles. Un nombre croissant de hackers se forment ainsi actuellement à l’utilisation de l’apprentissage automatique (“machine learning”).

L’apprentissage automatique: les cyber-criminels s’y mettent aussi

L’apprentissage automatique est un sujet brûlant. De nombreuses équipes IT et de développement procèdent à des expériences en la matière. C’est là une pratique qui s’inscrit dans le prolongement de l’intelligence artificielle, souligne la société SAS, éditeur de logiciels d’analytique novateur, d’aide à la décision et de gestion de données. Elle s’appuie sur l’aptitude à concevoir des modèles analytiques automatisés. En d’autres termes, l’apprentissage automatique permet à des systèmes d’accroître leurs propres connaissances et d’adapter leurs processus et leurs activités en fonction de l’expérience et des utilisations auxquels ils se livrent en permanence. Les applications vont de recommandations en-ligne de services de streaming ou de boutiques jusqu’à la détection automatique de fraudes dans le secteur bancaire.

Alors que les sociétés de sécurité ont recours à des technologies telles que l’apprentissage automatique, le “deep learning” (apprentissage profond) et l’IA pour imaginer les cyber-défenses de demain, les cyber-criminels se plongent dans cette même discipline pour la mettre en pratique. J’aimerais, dans ce billet, me pencher sur leurs méthodes et sur la manière dont les entreprises peuvent s’y préparer.

Machine contre Machine: qui est la plus futée?

Lorsque les hackers conçoivent des maliciels, leur seul but n’est pas de s’immiscer dans une entreprise: souvent, ils désirent demeurer dans les systèmes de leurs victimes le plus longtemps possible et, de préférence, poursuivre leurs activités sans être détectés. L’une des manières dont les hackers utilisent l’apprentissage automatique consiste à échapper au radar des systèmes de protection qui ont pour but d’identifier et de bloquer les activités cyber-criminelles.

Des chercheurs de l’université de Cornell décrivent la manière dont les hackers pourraient utiliser cette filière. Ils ont développé un algorithme GAN (​generative adversarial network) qui peut lui-même générer des spécimens de maliciels. Grâce aux potentiels de l’apprentissage automatique, les spécimens résultants étaient bel et bien en mesure d’éviter des solutions de sécurité basées sur l’apprentissage automatique qui avaient été spécialement conçues pour détecter des spécimens dangereux. L’apprentissage automatique pourrait également avoir pour conséquence que le code de nouveaux spécimens de maliciels évolue en tenant compte de la manière dont les systèmes de sécurité détectent des infections plus anciennes. Cela permettait au maliciel “plus intelligent” d’échapper plus longtemps à toute détection, tapi dans des systèmes infectés.

Mesures pré-préventives: préparer une attaque

Alexander Polyakov, collaborateur chez Forbes et par ailleurs co-fondateur et CTO d’ERPscan, relève que les hackers pourraient également utiliser l’apprentissage automatique pour des tâches préparatoires à une attaque.

Avant de lancer une attaque, les cyber-criminels commencent le plus souvent par collecter un maximum d’informations au sujet de leur cible. Cela inclut des détails sur les membres de la direction (voire même sur des collaborateurs de niveau inférieur), détails qui, par la suite, pourront être utilisés lors d’une attaque d’hameçonnage. L’apprentissage automatique met un terme à la nécessité de procéder manuellement: désormais, les hackers peuvent automatiser et accélérer tout le processus. Alexander Polyakov signalait que ce type d’attaque par hameçonnage pourrait augmenter les chances de succès de quelque 30%.

A mesure que l’hameçonnage et les attaques ciblées se font plus sophistiquées, il est absolument nécessaire que chacun, au sein d’une société, sache comment reconnaître un message frauduleux – qui, bien souvent, a toutes les apparences de la légitimité. Les messages d’hameçonnage comportent souvent un nom, un titre et d’autres détails concernant le destinataire – souvent avec de légères modifications – afin d’inciter la victime à l’ouvrir. Pour veiller à ce que les collaborateurs ne tombent pas dans le piège, il faut commencer par une formation poussée, composante indispensable d’une sécurisation réussie.

Eluder les systèmes CAPTCHA à l’aide de l’apprentissage automatique

De nombreux sites Internet et systèmes ont recours à la technologie CAPTCHA afin de distinguer les utilisateurs humains des bots. Cette mesure, éprouvée, de sécurité se fait moins étanche à l’heure de l’apprentissage automatique.

En 2012, des chercheurs avaient déjà démontré que l’apprentissage automatique permettait d’éluder les systèmes de type reCAPTCHA avec un taux de succès de 82%. Cinq ans plus tard,  dans leur tentative d’éluder des protections reCAPTCHA Google, des chercheurs ont atteint une précision de… 98% grâce à l’apprentissage automatique.

Alexander Polyakov a conseillé de remplacer l’identification CAPTCHA par MathCAPTCHA, ou toute autre solution plus robuste.

 

De l’apprentissage automatique en guise de sécurisation

Heureusement, l’apprentissage automatique peut également donner un coup de pouce à la sécurisation d’un réseau d’entreprise. Cette technologie est d’ores et déjà intégrée dans diverses solutions de sécurité en guise de fonction supplémentaire. Elle peut en outre contribuer à détecter et combler des lacunes au niveau de la sécurité IoT, à améliorer la surveillance d’échanges de données entre collaborateurs et même à prédire et bloquer des menaces de type Zero Day. La cyber-securité est une discipline dynamique dans le cadre de laquelle l’innovation continue de revêtir un caractère crucial, à la fois pour l’utilisateur final, pour les sociétés spécialisées en sécurité et – en effet – pour les cyber-criminels.