Avec l’arrivée de la cognitique, la course à l’armement entre cybermalfaiteurs et défenseurs devrait connaître un nouveau chapitre dans les mois et les années à venir. Les attaques qui intégreront l’IA seront davantage polarisées, qu’elles soient automatisées et à large spectre ou façonnées sur mesure.
Ils n’ont pas de boules de cristal, ne lisent pas dans les entrailles de bêtes sacrifiées et n’utilisent pas non plus les incantations pour prédire l’avenir. Les cassandres de la cybersécurité s’appuient sur ce qu’ils voient passer par leurs systèmes de détection et les sondes qu’ils ont disposés autour du globe. Et ce qu’ils voient s’inscrit dans la droite ligne des tendances actuelles, avec toutefois quelques raffinements supplémentaires qui rentrent petit à petit dans l’arsenal des cybermalfaiteurs.
Parmi les tendances actuelles, la digitalisation de la vie en confinement ou semi-confinement reste le facteur principal des attaques de grande envergure. Plus sophistiquées et nécessitant plus d’expertise, les attaques sur les chaînes d’approvisionnement constituent un autre nouveau filon pour les cybermalfaiteurs, principalement ceux qui sont commandités par des états. Enfin, la tendance la plus notable est l’intégration de la cognitique aux attaques.
L’IA, l’arme d’attaque ultime
Il ne s’agit plus d’automatiser des attaques, brutes et brutales, via des armées de bots qui génèrent automatiquement des courriels ou essayent la force brute contre les accès verrouillés par mots de passe. Ces attaques uniformes et qui utilisent le même processus, quelle que soit la cible touchée n’arrivent plus à passer sous la couverture radar des outils de détection et de réponse. En revanche, l’IA permet de véritables attaques par des algorithmes apprenants et s’adaptant en utilisant le traitement automatique de la connaissance acquise.
Comme l’exprime dans une tribune Fabien Rech, vice-président Europe du Sud, Benelux et Israël chez McAfee : « Les attaques ciblant les plateformes et les utilisateurs du cloud intégreront l’IA comme arme d’attaque et seront davantage polarisées, qu’elles soient mécanisées et de grande ampleur ou sophistiquées et fabriquées avec précision. C’est la grande nouveauté ». En effet, l’IA permet les deux types d’attaques : des offensives de grande ampleur, mais capables d’adapter, un tant soit peu, le mode opératoire à la cible ; ou des attaques taillées sur mesure, apprenantes et adaptatives selon les réactions de la cible.
Principales cibles : le cloud et les appareils non gérés
Il est vrai que l’évolution actuelle a de quoi aiguiser les appétits des maraudeurs du numérique. Toujours selon Fabien Rech : « L’analyse de nos données utilisateurs démontre une augmentation globale de 50 % de l’utilisation du cloud par les entreprises, tous secteurs confondus, au cours des quatre premiers mois de 2020. Elle démontre par ailleurs une augmentation dans toutes les catégories de services cloud : une augmentation de l’utilisation des services de collaboration tels que Microsoft 365 (123 %), une augmentation des services d’entreprise tels que Salesforce (61 %), et une forte croissance des services de collaboration tels que Cisco Webex (600 %), Zoom (350 %), Microsoft Teams (300 %), et Slack (200 %) ».
Le plus inquiétant, c’est l’augmentation de 100 % des accès au cloud à partir d’appareils non gérés. En effet, le télétravail a intégré une proportion croissante d’appareils non gérés accédant au cloud de l’entreprise, à partir des réseaux domestiques. Et, par la force de l’urgence, ces réseaux domestiques sont devenus des extensions des réseaux de l’entreprise. « Cela laisse présager que l’IA sera intégrée aux futures attaques massives, pour garantir une meilleure efficacité contre des milliers de réseaux domestiques hétérogènes », affirme Fabien Rech.
Et de citer l’exemple d’algorithmes d’optimisation des ressources, utilisés pour s’assurer que les IP compromises, et qui lancent des attaques par force brute contre de multiples services et secteurs, ne soient pas bloquées. Dans ces cas, des algorithmes distribués et le deep learning seront mis au travail pour identifier les plans d’attaque visant principalement à éviter les blocages de comptes. Cela aura pour effet de maximiser la durée de vie des IP compromises utilisées pour les attaques. « Nous pensons que les acteurs malveillants commenceront à exploiter de cette manière les surfaces de menace sur les appareils, les réseaux et le cloud dans les mois et les années à venir », conclut Fabien Rech.