L’IA, ami ou ennemi ? Comme toute technologie, celle-ci présente deux facettes qui diffèrent en fonction de l’objectif. C’est ce que démontre une étude de Tenable, spécialisé dans la gestion des vulnérabilités.
Son étude se concentre sur quatre nouveaux outils conçus pour aider les chercheurs à rationaliser la rétro-ingénierie, l'analyse des vulnérabilités, le débogage du code et la sécurité des applications web, ainsi qu'à identifier les mauvaises configurations basées sur le cloud.
Ces outils, désormais disponibles sur GitHub, démontrent que les solutions basées sur l'IA générative tels que ChatGPT jouent un rôle important dans les cas d'utilisation défensive, en particulier lorsqu'il s'agit d'analyser le code et de le traduire en explications lisibles afin que les défenseurs puissent mieux comprendre le fonctionnement du code et ses vulnérabilités potentielles.
Multiplicateur de force
"Tenable a déjà utilisé les « Large Language Model » (LLM) pour créer de nouveaux outils qui accélèrent les processus et nous aident à identifier les vulnérabilités plus rapidement et plus efficacement", indique le rapport."Bien que ces outils soient loin de remplacer les ingénieurs en sécurité, ils peuvent agir comme un multiplicateur de force et réduire certains travaux complexes et à forte intensité de main-d'œuvre lorsqu'ils sont utilisés par des chercheurs expérimentés."
L'un des principaux outils décrits dans l'étude est G-3PO, un script de traduction pour le cadre de rétro-ingénierie Ghidra. Développé par la NSA, G-3PO est un outil qui désassemble le code et le décompile en "quelque chose qui ressemble à un code source" dans le langage de programmation C. Le chercheur peut ainsi comprendre la fonction du code sans avoir à l'analyser manuellement.
Des résultats à interpréter avec précaution
Bien que cela puisse faire gagner du temps, Olivia Fraser, chercheuse de Tenable spécialisée dans les Zero-day, prévient dans une vidéo YouTube expliquant le fonctionnement de G-3PO que les chercheurs doivent toujours revérifier l'exactitude des résultats."Il va sans dire que les résultats de G-3PO, comme ceux de tout outil automatisé, doivent être pris avec un grain de sel et, dans le cas de cet outil, probablement avec plusieurs cuillères à soupe de sel", a déclaré Olivia Fraser. Ses résultats doivent bien sûr toujours être comparés au code décompilé et au désassemblage, mais cela fait partie de la routine de l'ingénieur inverse.
Une autre solution prometteuse est BurpGPT, une extension du logiciel de test d'applications Burp Suite qui permet aux utilisateurs d'utiliser GPT pour analyser les requêtes et les réponses HTTP.
BurpGPT intercepte le trafic HTTP et le transmet à l'API OpenAI, qui l'analyse pour identifier les risques et les correctifs potentiels. Dans son rapport, Tenable note que BurpGPT a réussi à identifier des vulnérabilités de type cross site scripting (XSS) et des en-têtes HTTP mal configurés.
EscalateGPT semble être un outil très prometteur. Les politiques IAM représentent souvent un réseau complexe et enchevêtré d'attributions de privilèges. Les oublis lors de la création et de la maintenance des politiques s'insinuent souvent, créant des vulnérabilités involontaires que les criminels exploitent à leur avantage.
Pour tenter d'identifier les erreurs de configuration des politiques IAM, l'équipe de recherche de Tenable a développé EscalateGPT, un outil Python conçu pour identifier les opportunités d'élévation de privilèges dans l'IAM d'Amazon Web Services.