Mais pour bien comprendre les faits, il faut réussir à aller au-delà de la frénésie médiatique que suscitent ces deux sujets. De quelle façon l’IA impacte la menace des ransomwares à l’échelle mondiale et comment cela change-t-il concrètement la donne ?
L’IA, outil aussi bien utilisé pour la sécurité que pour les actes criminels
L’IA représente un potentiel sans précédent, à la fois pour la cybercriminalité et pour la société en général. En tant qu’outil supplémentaire à la disposition des acteurs malveillants, l’IA leur permet d’accéder plus facilement à leurs cibles et contribue à amplifier la menace des ransomwares en favorisant des compétences comme« la reconnaissance, l’hameçonnage et le codage » comme a prévenu le National Cyber Security Centre du Royaume-Uni.
Les programmateurs légitimes utilisent déjà l’IA pour réaliser leur codage. Les avancées de l’IA (par exemple la simplification de la correction de codes erronés ou la formulation de réponses à des questions plus rapidement que Google), aident aussi bien les criminels qui piratent des SI que les personnes qui les développent. Toutefois, si cette tendance peut faciliter la tâche aux cybercriminels, elle ne contribuera pas à compliquer les choses pour les équipes de sécurité. Le résultat reste le même, et selon à qui l’on s’adresse, le produit fini pourrait même être pire que prévu.
D’autres cas d’utilisation portent en eux des conséquences plus lourdes. Par exemple, il est possible maintenant de repérer facilement certaines vulnérabilités, grâce à l’analyse des réseaux par l’IA et de la cartographie des architectures et des terminaux. Ces tâches, effectuées de façon manuelle par les acteurs malveillants habituellement, deviennent tout de suite plus simples et efficaces grâce à l’IA. Elle peut également être utilisée pour automatiser la collecte d’informations permettant de mener des attaques plus ciblées. Il devient alors beaucoup plus facile pour les cyberattaquants de scanner l’ensemble d’Internet, notamment les réseaux sociaux, pour collecter des informations utiles sur leur cible, en vue d’opérations d’hameçonnage et d’ingénierie sociale.
Quand, au pic de l’engouement médiatique, l’IA est décrite comme « une aide pour construire des mails frauduleux », cette affirmation est loin de refléter l’entière réalité. Les outils d’IA, qui sont très faciles d’accès, peuvent réussir à corriger les erreurs de langage qui caractérisent habituellement les escroqueries informatiques, et donc aider les cybercriminels à produire des contenus beaucoup plus convaincants. L’IA a aussi permis de progresser en matière de clonage vocal (ou « deepfake ») de personnes spécifiques avec une utilisation à des fins malveillantes. En combinant ce procédé avec la collecte automatique d’informations sur une cible précise, on obtient une série de techniques d’ingénierie sociale de nouvelle génération.
La question de la sécurité
Deux points importants sont à garder en tête du côté des cybercriminels, et ce indépendamment du nombre d’outils dont ils disposent : premièrement, ils ne sont pas les seuls à avoir accès à ces outils, les équipes de sécurité les utilisent également ; deuxièmement, l’influence de l’IA sur le niveau de sophistication et d’efficacité des attaques est importante. A l’heure actuelle, aucune nouvelle menace n’est encore introduite par l’IA donc il n’est pas nécessaire de revoir toutes les pratiques en place.Les deux camps du champ de bataille des menaces font déjà usage de l’IA. Si les cybercriminels peuvent accéder à des solutions et des services sur des « dark marketplaces », les personnes dites « lambdas » en ont tout autant – sinon plus – à leur disposition. Et si l’on compare le secteur du ransomware, estimé en 2022 à 14 milliards de dollars (une somme considérable), à celui de la sécurité, qui représente 200 milliards de dollars, le déséquilibre de force est incontestable.
L’IA peut être utilisée pour plusieurs cas d’application en matière de sécurité : l’analyse comportementale, la détection des menaces et la recherche de vulnérabilités afin de détecter les risques et les activités malveillantes. Elle sert aussi à surveiller à la fois le système en lui-même (en détectant les vulnérabilités et les points d’entrée) et les activités qui s’y déroulent (au moyen d’analyses comportementales, d’analyses de données, etc.). En implémentant une sécurité alimentée par l’IA, l’objectif est d’anticiper et de contrecarrer les menaces avant que celles-ci ne se transforment en failles exploitables. Des outils plus modernes permettront de répondre automatiquement à ces menaces, en alertant les équipes de sécurité ou en restreignant l’accès au système. Du côté des cybercriminels, la plupart de ces concepts (tels que les pares-feux ou les détecteurs de malwares) sont déjà bien connus, mais l’IA leur permettra de les perfectionner.
Bonnes pratiques gages de succès
L’objectif ultime n’est pas de voir s’affronter les différentes IA dans le cyberespace, même si c’est une perspective qui peut fasciner. Il y a, pour l’instant, une stabilité dans les ransomwares et les tactiques d’attaque utilisées par les cybercriminels. Si l’hygiène numérique et le modèle de cybersécurité Zero Trust restent toujours valables, il est évident que la sécurité devra garder la cadence et faire preuve d’adaptation. Si il suffit d’une seule fois pour qu’une technique d’ingénierie sociale fasse mouche, les actions de prévention doivent sans cesse être menées, tout en maintenant une grande résilience pour lutter contre les attaques de ransomwares.Le mieux, au final, est de suivre les bonnes pratiques en vigueur. Alors que les ransomwares alimentés par l’IA tendent à se généraliser, il est plus que jamais essentiel de disposer de plusieurs copies de ses données. La sauvegarde et la restauration des données sont les derniers remparts sur lesquels compter quand plus rien ne fonctionne. Ce type de pratique a la faculté de mettre en difficulté les scénarios les plus inquiétants, notamment ceux impliquant l’attaque par hameçonnage la plus complexe connue de l’homme
ou de la machine.
C’est pourquoi, en tant que ligne de défense ultime face aux cyberattaques, avoir confiance dans sa sauvegarde est primordial. Comment faire pour cela ? D’abord, disposer de plusieurs copies de ses données, dont une copiehors ligne et une copie hors site ; mais aussi disposer d’une stratégie de restauration bien rodée, qui comprend l’analyse des sauvegardes pour détecter toute altération potentielle et la mise en place d’un environnement de restauration opérationnel.
Au final, et de façon moins surprenante qu’on pouvait le croire, l’IA ne fait que prolonger l’évolution liée à la cybersécurité sans en changer profondément la donne ; on ne peut certes pas tout accomplir, mais il est possible de réaliser des avancées technologiques. La meilleure façon d’y faire face est de continuer à appliquer les principes fondamentaux, d’être au fait des bonnes pratiques et de faire confiance à son système de sauvegarde en tant qu’ultime rempart lorsque toutes les barrières sont tombées.
Par Rick Vanover, Vice President Product Strategy chez Veeam