A ce jour, certaines actions offensives sont difficiles à mener automatiquement, ce qui limite l’ampleur des attaques informatiques : • trouver les vulnérabilités des logiciels en service, au-delà des outils automatisés qui identifient les vulnérabilités les plus simples ; • détecter les mauvais paramétrages et vulnérabilités des machines informatiques, au-delà des scans automatiques sur internet qui ne peuvent accéder aux machines internes aux entreprises ; • développer des outils d’attaque sophistiqués et indétectables, au-delà des simples virus générés automatiquement ; • exploiter des dispositifs d’attaque complexes, notamment des botnets évolutifs (i.e. réseau de milliers ou millions de machines contrôlées par un attaquant), au-delà d’une simple supervision du botnet assurée par des serveurs clandestins de control & command.
Il se trouve que l’IA est très bien adaptée pour trouver des vulnérabilités dans les machines et les logiciels, pour créer et exploiter des outils d’attaque sophistiqués. Les experts en cybersécurité commencent à l’utiliser à cette fin (cf. encadrés), et ce n’est qu’une question de temps avant que les attaquants les plus déterminés fassent de même à grande échelle. L’IA est aussi capable de mener des manœuvres de « social engineering » à grande échelle, trompant les hommes pour leur arracher de l’information (mots de passe…) ou affaiblir leurs réflexes de sécurité. Nous ne sommes pas là dans un scenario futuriste, mettant en scène une IA « forte » voulant nuire à l’humanité et prendre le contrôle de notre environnement, mais dans une simple adaptation à des fins malveillantes de technologies existantes.
Les quelques digues identifiées ci-dessus limitant la prolifération des attaques informatiques vont tomber avec l’appropriation de l’IA par les pirates, qui pourront ainsi massifier fortement leurs capacités de nuisance. Mais ce n’est que la partie émergée de l’iceberg… en fait, le problème est bien plus grave qu’une simple perspective d’industrialisation des attaques !
Une IA cybermalveillante sera en effet capable de prendre le contrôle de nombreuses machines informatiques – c’est l’objectif de tout pirate informatique. Mais surtout… elle développera son arsenal en adoptant de nouvelles techniques d’attaques, elle se dupliquera de plus en plus vite sur les réseaux au fur et à mesure qu’elle prendra le contrôle de nouvelles machines. Elle deviendra rapidement autonome, indépendante de ses concepteurs.
Contrairement à un pirate humain, elle se déploiera de manière automatisée, bien plus rapidement. Contrairement à un simple virus ou ver informatique, elle sera capable de varier les techniques d’attaque afin de diversifier ses cibles. Contrairement à un botnet, elle pourra multiplier les centres de control & command pour accélérer son déploiement et accroître sa robustesse. Contrairement aux kits d’attaques existants, elle trouvera par elle-même de nouvelles vulnérabilités à exploiter.
Je suis convaincu qu’une telle IA sera prochainement créée et lâchée sur le net, à des fins crapuleuses ou stratégiques, ou plus probablement terroristes ou idéologiques. Après une courte période d’apprentissage, elle se répandra de manière autonome et infectera tous les systèmes connectés ayant une quelconque vulnérabilité… c’est-à-dire l’immense majorité des milliards de machines connectées directement ou indirectement à internet, sans doute en quelques jours. Y sommes-nous préparés ?
Lorsque l’attaque aura réellement commencé, il sera très difficile de l’entraver en raison de sa capacité de mutation et de prolifération exponentielle ; il y a bien des chances que l’IA cybermalveillante se répande sur le net bien plus vite que les défenseurs informatiques ne pourront la contenir. Sauf à risquer la panne informatique mondiale, la seule réponse possible sera alors la déconnexion immédiate de l’internet de la plupart des systèmes informatiques. Déconnexion qui pourra être assez durable, car les administrateurs informatiques ne reconnecteront pas les machines à l’internet sans s’être assurés d’un bon niveau de sécurité.
Il n’y a pas de parade magique possible, cette attaque massive se produira à court ou moyen terme et aura les effets indiqués ci-dessus. Pour autant, on peut s’y préparer afin d’en réduire la propagation et l’impact. Qu’elle soit menée par une intelligence humaine ou artificielle, une attaque informatique requiert en effet au moins une vulnérabilité pour se propager sur sa cible. Il convient donc de mettre en place une pratique de tolérance zéro en matière de vulnérabilité informatique des machines connectées à l’internet.
Adopter une politique de tolérance zéro en matière de vulnérabilité informatique n’est pas chose aisée, nous en sommes très loin. Non seulement faut-il que les entreprises et administrations l’organisent, au prix d’efforts importants, mais encore faut-il le faire respecter pour toutes les machines en ligne, y compris celles qui n’ont pas d’administrateur pour s’en occuper (PME, particuliers…). De ce fait, il s’agirait d’une politique publique de cyber-résilience qui n’existe pas aujourd’hui : tout le monde peut connecter à l’internet une machine vulnérable sans que quiconque objecte ou même s’en aperçoive. Le risque de compromission est principalement une externalité, qui pèse sur la société davantage que sur l’utilisateur, sans que celui-ci ait d’incitation à le pallier. La situation ressemble à la circulation routière à la fin du 19ème siècle, avant que soit instituée l’obligation du permis de conduire et d’homologation des véhicules : tout le monde pouvait conduire sur le domaine public et mettre impunément la population en danger ; tout véhicule pouvait être mis en circulation et librement modifié, aussi dangereux soit-il pour les passagers et les autres usagers.
N’en doutons pas, réduire drastiquement la vulnérabilité des machines connectées à l’internet sera beaucoup plus compliqué que réglementer les routes, ne serait-ce qu’en raison de la difficulté du contrôle. Vérifier qu’un ordinateur n’est pas (ou peu) vulnérable est infiniment plus complexe et délicat que vérifier le permis d’un automobiliste ou la carte grise d’un véhicule !
Une politique publique de cyber-résilience mettrait à contribution de nombreux acteurs : grandes entreprises et administrations bien sûr, qui l’appliqueront en leur sein, mais aussi opérateurs de communication électronique qui vérifieront la résilience des machines connectées à l’internet par leur intermédiaire. De nombreux organismes de formation, à commencer par l’école publique, devront apprendre à la population à mieux sécuriser ses machines afin de les mettre en ligne sans risque pour la société. Et par ailleurs les industriels et éditeurs devront déployer, bien davantage qu’aujourd’hui, des dispositifs de mise à jour automatique des logiciels et des machines. Ils devront être tenus juridiquement responsables des vulnérabilités présentes et futures des machines et logiciels qu’ils vendent. Au-delà des ordinateurs, il faudra étendre ces règles à l’ensemble des systèmes et produits connectés, qui contiennent tous des machines informatiques souvent très vulnérables aux attaques.
L’intelligence artificielle, au service des défenseurs, pourra d’ailleurs certainement nous aider dans cette entreprise colossale. En détectant les vulnérabilités à corriger sur les réseaux par exemple. Mais aussi en repérant les machines déjà compromises, voire à terme en traquant les IA cybermalveillantes sur internet (cf. en encadré le « AI Fight Club » lancé en 2017 par Google Brain). Encore faudra-t-il que la loi le permette, donc que l’Etat et le législateur s’y préparent.
Avant qu’une attaque massive menée par une IA cybermalveillante autonome mette à genoux l’internet, des attaques d’ampleur moindre se déploieront, soit qu’elles ne visent qu’une portion du parc informatiques (les machines sous Android, par exemple), soit qu’elles ne ciblent qu’un nombre restreint de vulnérabilités, soit qu’elles n’opèrent que par des modes d’attaques limités. Puissent ces futurs coups de semonce nous éclairer et inciter nos dirigeants à adopter une vraie politique publique de cyber-résilience !
Yves Le Floch
yves.le-floch@sogeti.comL’auteur : après une carrière d’ingénieur de l’armement au sein des ministères de la Défense et des Affaires étrangères, Yves Le Floch a occupé pendant six ans le poste de conseiller, pour la sécurité des systèmes d’information et le renseignement technique, du secrétaire général de la défense et de la sécurité nationale. Exerçant toujours dans le domaine de la cybersécurité, il est maintenant vice-président au sein de la société Sogeti (groupe Capgemini).
