Numalis

L’IA et la cybersécurité : entre sûreté de fonctionnement et failles

16 décembre 2020

Quelle est la place de l’IA dans la cybersécurité ? Présentant des avantages certains, il ne faut pas non plus en oublier les failles.

La cybersécurité est un perpétuel duel entre le glaive et le bouclier qui oppose les attaquants et les défenseurs. C’est à celui qui trouvera de nouvelles failles pour attaquer ou qui développera des nouveaux moyens de défenses pour mieux sécuriser. C’est donc un domaine en constante évolution, enrichissant ses méthodes et intégrant les dernières technologies. Aujourd’hui, le domaine connaît un nouveau tournant avec l’essor de l’intelligence artificielle. Il est en pleine effervescence, comme en témoignent la recrudescence des attaques (ou du moins la multiplication de leur impact) sur les grands groupes depuis fin 2019 - début 2020 [1]. L’IA s’avère être utilisée à la fois comme un moyen de défense et un outil d’attaque ; mais elle pose également un nouveau terrain de vulnérabilité. Il est donc intéressant de regarder de plus près ce que l’intelligence artificielle peut apporter pour la cybersécurité, tout en gardant en tête les failles qui lui sont inhérentes.

Comment l’IA contribue à la cybersécurité ?

Pour commencer, l’IA semble apporter beaucoup à la protection en cybersécurité [2]. Il faut savoir que les moyens de défense actuels, par exemple basés sur les pare-feu ou les antivirus, n’arrêtent principalement que les menaces qu’ils connaissent. C’est une défense basée sur la reconnaissance de “signatures” typiques. Or, si un pirate crée une attaque sophistiquée et personnalisée de type APT [3] (Advanced Persistent Threat), elle sera quasiment indétectable pour ces moyens de défense [4]. Ce qui n’est pas forcément le cas pour une IA, notamment grâce au machine learning.

Un des principaux atout de l’intelligence artificielle pour la cybersécurité concerne donc sa capacité d’apprentissage. Il est ainsi possible de faire apprendre à une IA à connaître le fonctionnement habituel d’un réseau. Sur cette base il est ensuite possible de repérer les comportements qui s’éloignent de la normale et de lancer des alertes. Ces méthodes sont appelées UBA (User Behavior Analytics). La détection de signaux faibles est une des caractéristiques des IA. Il est ainsi possible de repérer des comportements de navigation suspects, des mots de passe qui ne sont pas rentrés comme à leur habitude (vitesse de frappe, erreurs…), des flux suspects d’informations [5]... Cela permet alors par exemple de détecter rapidement des APT qui auraient pu avoir de graves conséquences, tel que du vol massif de données. Réagir le plus rapidement possible est essentiel afin de limiter l’impact d’une attaque et l’IA apporte beaucoup en ce sens.
L’IA peut aussi s’entraîner à reconnaître les signatures de certaines attaques, afin de les détecter même si elles sont camouflées ou ont été un peu variantées. Ceci permet de contrer plus rapidement de nouvelles versions de logiciels malveillants, et donc de renforcer des défenses préexistantes. [6]

Comment l’IA contribue à l’augmentation des attaques informatiques ?

A l’inverse, l’IA peut aussi être utilisée afin d’attaquer. Un exemple très connu est celui des deep fake. Des cybercriminels ont utilisé une IA pour reconstruire la voix d’un PDG d’une entreprise et ainsi voler plus de 200 000 euros à cette dernière en trompant les employés [7]. Les performances de l’IA peuvent être utilisées par les attaquants afin de rendre plus crédible leurs attaques, de les rendre moins facilement détectables ou plus personnalisées [8]. Une IA pourrait par exemple analyser les éléments contenus dans des mails de phishing pour déterminer ceux qui incitent le plus à cliquer et par la suite les réutiliser.

Comme tout système informatique, l’IA présente également des failles qui peuvent être exploitées lors d’une cyberattaque. Une première faille concerne les données nécessaires à l’apprentissage de l’IA. Quel que soit l’usage prévu de l'IA, il en faut un grand nombre et de bonne qualité afin d’entraîner efficacement une IA. Avoir des données incomplètes ou pas assez représentatives réduirait les performances de cette dernière et pourrait l’amener à commettre des erreurs. Aussi, comme cela est déjà le cas pour des algorithmes de reconnaissance d’images, il est possible de modifier ces bases d’entraînement pour amener l’algorithme à se tromper [9 : cf précédent article]. Ainsi, des personnes mal intentionnées peuvent infecter à l’avance des bases de données pour permettre à leurs attaques de passer inaperçues.
Il existe une autre limite au niveau des données, concernant leur volume qui est de plus en plus important et ne cessera de s'accroître à cause de la diversité des attaques et des quantités gigantesques de données à analyser. Les stockages doivent donc être importants et les programmes seront de plus en plus lents pour s'exécuter et reconnaître les dangers [5].
Le caractère de "boîte noire” des IA induit également des problèmes liés à leur explicabilité et donc pour leur compréhension. En effet, découvrir les failles d’un système que l’on a du mal à expliquer peut s’avérer plus compliqué que prévu. Il devient alors plus facile d’insérer des comportements non désirés car l’audit du système restera trop complexe quoi qu’il arrive [4].

L’IA et les cybersécurité deux notions indissociables

L’IA s’installe durablement dans le champ de la cybersécurité, tant en défense, qu’en attaque qu’en objet d’étude. Mieux comprendre cette technologie permettra de limiter ses failles et de tenter de s’en prémunir. Quel que soit le scénario considéré, l’IA pourra être utilisée en complément des solutions actuelles et en appui des équipes de sécurité, afin de les renforcer mais en aucun cas ne les remplaceraient [8]. Tout porte à croire que l’IA va continuer à se développer au cours des prochaines années, notamment dans le champ de la cybersécurité. Et dans l'éternelle opposition attaque/défense les actions tant offensives que défensives que permettent l’IA resteront à surveiller.