Le machine learning pour assister la cybersécurité… ou la cybercriminalité ?

Pour mener à bien leurs stratégies d'attaques, les cybercriminels n'ont pas encore adopté le machine-learning. Et ils ne le feront certainement pas de sitôt.

L'industrie de la cybersécurité a toujours fait l'objet d'une pression constante émanant des cybercriminels et des malwares. Du fait de l’intégration grandissante des ordinateurs, logiciels et services informatiques dans notre quotidien, la mission d’assurer la sécurité des données est de plus en plus difficile.

Les divers outils dont les cybercriminels disposent aujourd'hui, ont soulevé de vives inquiétudes auprès des entreprises de sécurité : ces criminels sont aujourd'hui la principale menace et peuvent créer, diffuser, et pénétrer les zones de défense d'une cible, par le biais de malwares inédits et sur mesure. L'industrie de la sécurité a donc dû adopter de nouvelles méthodes pour faire face à l'inconnu, en s'appuyant notamment sur les puissantes capacités des algorithmes de machine learning.

La cybersécurité et le machine learning

Les menaces ciblées et avancées dont l'objectif est d'attaquer les structures et entreprises, parviennent souvent à échapper aux mécanismes de sécurité traditionnels. Les algorithmes de machine learning ont permis de combler l'écart observé entre la proactivité et la détection. Alors que les humains sont excellents pour effectuer des analyses en profondeur et identifier les subtilités de code sur des échantillons malveillants, le machine learning est en revanche beaucoup plus performant pour appliquer des modèles sur des quantités de données volumineuses, sans jamais se fatiguer ni se plaindre de la redondance de ces tâches.

Dans un contexte de données volumineuses, où tout ce qui est connecté à Internet (des appareils connectées aux endpoints physiques et virtuels) est une source d'information ou un point d'attaque potentielle, le machine learning peut être utilisé pour décrypter, analyser et interpréter les données, en ne déployant que très peu d'efforts.

En revanche, l'élément humain est en charge d'assurer l'exactitude du modèle de machine learning, tout comme sa pertinence. Forts de plusieurs années d'expérience en rétro-ingénierie d'échantillons de malwares et en analyse des techniques d'attaque, les spécialistes de la cybersécurité sont généralement ceux qui transfèrent leur expertise vers les algorithmes de machine learning, formant ces derniers à analyser les comportements et à détecter les anomalies. Allant des réseaux de neurones artificiels aux algorithmes génétiques, ces algorithmes de machine learning ont pour objectif ultime de s'adapter aux variations des comportements fondamentaux.

Les cybercriminels utilisent-ils le machine learning ?

La réponse est Non ! Parce qu'ils disposent déjà d'un large éventail d'outils et mécanismes capables non seulement de développer de nouveaux malwares, mais aussi de s'assurer que chaque nouvel échantillon de malwares est unique.

L'obfuscation et le polymorphisme sont deux modèles que les cybercriminels utilisent pour créer et diffuser des échantillons de ransomwares, aussi bien auprès des particuliers que des professionnels. Ceux-ci sont tellement efficaces qu'on estime que les ransomwares ont provoqué au moins 1 million de dollars de pertes financières sur la seule année 2016.

Le cryptage est un autre outil puissant et régulièrement utilisé par les cybercriminels pour camoufler l'exfiltration de données, voire même extorquer de l'argent aux victimes. L'objectif premier de l'industrie de la cybercriminalité étant de créer de nouveaux mécanismes de conditionnement pour les échantillons de malwares de manière continue, et pas nécessairement de réfléchir à de nouveaux comportement ou techniques d'attaques innovantes. Le machine learning n'est donc pas un prérequis : en revanche les algorithmes doivent être constamment ajustés, et les fonctions d'obfuscation ou algorithmes de cryptage, en perpétuelle évolution pour pouvoir contrer efficacement ces mécanismes.

Le machine learning : mécanisme d'attaque ou de défense ?

Appliqué dans un « cyber » contexte, les fonctions actuelles du machine learning sont essentiellement défensives. Le machine learning aide l'industrie de la sécurité à faire face à près de 500 millions d'échantillons de malwares. Les cybercriminels n'ont pas encore adopté le machine learning et ils ne le feront certainement pas de sitôt.

Bien qu'il y ait eu des exemples d'algorithmes de machine learning dressés les uns contre les autres  (l'un visant à détecter les vulnérabilités des logiciels, l'autre à les réparer), ces exercices ne sont utilisés qu'à des fins de démonstration…

Bien sûr, le machine learning peut être utilisé pour ses capacités offensives, notamment lorsqu'il est appliqué dans l'industrie du jeu vidéo, car il peut être formé pour se défaire des ennemis virtuels avec la même précision que ses homologues humains. Cependant, celles-ci n'ont pas encore été utilisées dans le cadre d'activités cybercriminelles. 

Chiffrement / Réseaux