LastPass Labs est la base de contenu de l’équipe TIME (Threat Intelligence, Mitigation, and Escalation) de LastPass. L’analyse approfondie des derniers développements en matière de sécurité, la veille technologique ainsi qu’un regard acéré sur les cybermenaces sont nos principaux objectifs.
Il y a quelques années, alors que j’empruntais l’escalator du Moscone Center lors de la conférence RSA, un autre participant a remarqué mon badge. « Renseignement sur les menaces ? », m’a-t-il demandé. « Vous savez que votre travail va être remplacé par l’intelligence artificielle ? » J’ai ri. « Je viens de redémarrer ma montre qui était plantée, donc je pense que je n’ai rien à craindre pour l’instant », lui ai-je répondu.
Retour en 2023. Avec les avancées de ChatGPT et d’autres « Large Language Models » (LLM) ou grands modèles de langage, je ne suis plus aussi serein. Nous sommes entrés dans une nouvelle ère de l’IA, elle est disruptive et elle s’insinue rapidement dans notre quotidien.
Avec sa capacité de traitement et d’apprentissage rapide, l’IA est devenue incontournable dans certains secteurs, dont la cybersécurité. Toutefois, l’IA peut également servir d’outil dans le cadre d’activités malveillantes, complexifiant un environnement de sécurité déjà en pleine évolution.
Utilisations potentielles de l’IA contre les cybermenaces
Il existe trois applications potentielles de l’IA et de l’apprentissage automatique dans le domaine de la cyberdéfense. La première est la détection d’anomalies, où les algorithmes d’IA analysent des volumes énormes de données pour identifier des phénomènes inhabituels qui pourraient indiquer une cybermenace. Cette utilisation de l’IA peut aider les entreprises à détecter des menaces qui seraient normalement passées inaperçues. Pour le dire plus simplement, il s’agit de la stratégie « Voici une grosse botte de foin, trouve-moi les aiguilles ». Cette capacité est potentiellement extrêmement utile.
La deuxième utilisation est l’analyse prédictive. Ici, les algorithmes d’apprentissage automatique analysent des données existantes pour prédire de futures failles de sécurité. Cette stratégie peut permettre aux organisations de corriger des vulnérabilités avant qu’elles ne posent un problème.
Et avec l’explosion récente des LLM, la troisième application particulièrement utile dans le domaine du renseignement sur les menaces est la capacité de synthèse. Elle permet en théorie à un cyber-analyste d’extraire rapidement des informations précises sur une attaque, d’une étude ou d’un rapport ou d’un article de presse, à grande échelle, en posant une simple question basée sur les besoins particuliers de l’organisation.
Utilisation de l’IA par les assaillants
L’IA peut également être un outil puissant entre les mains des assaillants. Jusqu’ici, les tentatives d’hameçonnage étaient relativement simples à détecter en fonction du langage utilisé, du formatage et de l’analyse des liens. Les attaques par hameçonnage à base d’IA, qui exploitent les LLM pour créer des e-mails trompeurs, sont incroyablement personnalisées et leur caractère malveillant est beaucoup plus difficile à détecter. Les technologies de « deepfake », une autre innovation de l’IA, sont utilisées par les cybercriminels pour créer des imitations d’individus audiovisuelles très convaincantes. Ces technologies peuvent être exploitées à différentes fins délictueuses, qu’il s’agisse de répandre des fake news ou d’effectuer d’autres activités frauduleuses. L’environnement des cybermenaces a récemment vu apparaître des photos de célébrités générées par IA qui sont quasiment impossibles à distinguer de photos réelles (comme celle du Pape dans sa doudoune blanche), des technologies d’usurpation d’identité à base de deepfake audio pour autoriser des virements, ou encore des logiciels malveillants polymorphes créés par des IA qui se transforment automatiquement pour échapper aux outils de détection de signatures.
Nouveaux scénarios d’attaque par IA
Alors que les technologies d’IA ne cessent d’évoluer, l’on peut s’attendre à voir apparaître de nouveaux types d’attaques. Par exemple, des attaques visant à tromper les systèmes de cybersécurité en modifiant subtilement les données en entrée, afin de fausser les prédictions du système. En outre, plus nos sociétés dépendront de l’IA et de l’apprentissage automatique, plus nos infrastructures, comme les voitures autonomes ou les villes intelligentes, seront visées par des cyberattaques. Des agents malveillants pourront potentiellement manipuler les algorithmes de feux de signalisation ou perturber les algorithmes de conduite autonome, créant du chaos ou pire. La capacité des LLM actuels d’analyser et de créer du code est particulièrement préoccupante, puisqu’un LLM « cracké » (dont les mesures de sécurité ont été contournées) pourrait servir à créer des failles zero-day (des vulnérabilités publiées sans divulgation responsable ni correctif disponible) de manière automatique.
Le futur de l’IA et de la cybersécurité
Les progrès de l’IA continueront à bouleverser le paysage de la cybersécurité. À l’avenir, l’IA pourrait altérer la « course aux armements » dans le domaine de la cybersécurité, où assaillants et défenseurs rivalisent à coups de nouvelles technologies toujours plus sophistiquées. L’arrivée de l’informatique quantique pourrait renforcer considérablement la sécurité des communications en créant des méthodes de chiffrement beaucoup plus difficiles à casser. En outre, plus notre monde sera interconnecté, plus ses systèmes physiques et numériques seront intriqués, plus l’IA sera utile pour développer des systèmes de sécurité exhaustifs et résilients capables de répondre à des menaces sophistiquées.
Les entreprises et les organisations doivent prendre conscience de la façon dont l’IA redéfinit la cybersécurité, afin de garder une longueur d’avance sur les menaces potentielles en les contrant avant qu’elles ne puissent faire de réels dégâts.
L’équipe TIME (Threat Intelligence, Mitigation, and Escalation) de renseignement, de neutralisation et d’escalade des cybermenaces a pour vocation de protéger la communauté en analysant et prévenant les risques qui menacent nos clients, notre société et notre secteur. L’équipe, qui cumule près de 50 années d’expérience dans le domaine du renseignement et de l’informatique, est convaincue que le partage d’informations et la création de relations de confiance constituent le socle d’un programme de renseignement fructueux.
Notre objectif chez LastPass est de fournir des informations exploitables à tous les intervenants dans les meilleurs délais, afin d’aider nos équipes de sécurité à protéger nos clients, leurs données et leur entreprise. Nous comptons non seulement mener des analyses et informer nos équipes de sécurité sur l’évolution de l’univers des cybermenaces, mais également automatiser l’intégration de nos conclusions aux processus de nos partenaires afin de réduire le délai entre détection et prévention des menaces.