Comment l'IA réinvente les attaques par hameçonnage

Le fishing est un problème depuis le début des années 90, quand il tourmentait déjà les utilisateurs d'AOL et autres services en ligne. Aujourd'hui, c'est un fléau international. Son antidote pourrait bien provenir d'une techno datant du siècle dernier : l'intelligence artificielle.

Lorsque les e-mails d'hameçonnage s'accumulent dans les boîtes de réception des entreprises, les escrocs qui les envoient semblent gagner. Une enquête menée par Ivanti auprès de plus de 1 000 professionnels de l'IT a montré que près des trois quarts des entreprises ont été victimes d'une attaque au cours de l'année écoulée, et que 40% en ont souffert le mois précédent. Quatre personnes sur cinq disent que le volume des e-mails d'hameçonnage a augmenté.

Un hameçonnage plus malin, moins facile à détecter 

L'hameçonnage n'augmente pas seulement en volume ; il devient aussi plus difficile à détecter. En effet, les groupes de criminels qui organisent les campagnes d'hameçonnage deviennent plus malins et utilisent de nouvelles techniques pour passer sous le radar. L'enquête a montré que 85% des personnes interrogées s'inquiétaient de voir les techniques d'hameçonnage devenir plus sophistiquées. Et c'est d'autant plus inquiétant que de nombreux collaborateurs et entreprises optent désormais pour un modèle de travail hybride, qui rend la protection et la visibilité du réseau et des périphériques plus complexes.

L'une de ces techniques est l'inscription de domaines en masse. Traditionnellement, les entreprises de sécurisation des e-mails conservent la liste des domaines malveillants ayant été utilisés dans des campagnes d'hameçonnage. Ils comparent les e-mails entrants à cette liste noire, et mettent en quarantaine tous les messages contenant un domaine figurant sur la liste d'hameçonnage. Mais certains groupes d'hameçonneurs évitent désormais la détection en utilisant des services de cloud public, avec des domaines légitimes pour héberger leurs sites d'hameçonnage. D'autres inscrivent des domaines en masse à bas prix via des grossistes.

Les domaines inscrits en masse sont plus faciles à manipuler. Les pirates peuvent les échanger rapidement, avant qu'ils ne soient enregistrés sur liste noire. Cela leur permet également de cibler un nombre plus réduit de victimes avec des domaines distincts. C'est ce qu'on appelle une attaque snowshoe. Comme chaque domaine concerne un plus petit nombre de personnes, il a moins de risques d'apparaître sur le radar d'une entreprise de sécurité.

Une autre technique courante est le spearphishing. De nombreux cyberattaquants envoient toujours des e-mails d'hameçonnage génériques peu convaincants, en masse, dans l'espoir de piéger une victime innocente ici et là. Pour eux, c'est une question de quantité. Mais les harponneurs ciblent des proies plus précieuses, espérant faire de gros profits en volant des références d'authentification, en compromettant les messageries d'entreprise ou en lançant des infections par ransomware. Ils peuvent se permettre de faire des recherches sur ces victimes pour produire des e-mails plus convaincants qui ciblent des groupes plus restreints.

Tout cela met la barre encore plus haut pour les outils anti-hameçonnage, alors que les enjeux sont plus élevés que jamais. Les défenseurs doivent réussir à bloquer tous les e-mails d’hameçonnage, alors que les cyberpirates n’ont besoin que d’une seule occasion pour réussir. Il suffit d’une seule infection par ransomware transmise par hameçonnage pour prendre le contrôle de toute une entreprise.

L’IA à votre secours 

Il nous faut quelque chose pour empêcher ce déséquilibre, et l’IA incarne la candidate parfaite.

Les logiciels traditionnels sont très structurés, ils suivent seulement des instructions spécifiques. C’est pourquoi les logiciels anti-hameçonnage sont réactifs. Ils ne peuvent utiliser que des règles prédéfinies pour rechercher les e-mails d'hameçonnage. Ils comparent les e-mails à des exemples exacts d'attaques passées, mais ne savent pas détecter les e-mails d'hameçonnage qui sont nouveaux et inconnus.

L'IA ne suit pas les règles. L'un des types d'IA les plus courants est le machine learning. Il examine de gros volumes de données existantes pour créer un modèle statistique. Lorsque le système rencontre de nouvelles données, il prend des décisions par lui-même en comparant les données à ce modèle. L’avantage de l'IA, c'est qu'elle n'a pas besoin d'une correspondance exacte, elle cherche des modèles qui suggèrent des résultats.

Grâce à ce modèle, un système d'apprentissage automatique est excellent pour sonder et classifier de grandes quantités de données, bien plus rapidement qu'aucun opérateur humain ne pourrait le faire. Ces données peuvent être de toutes sortes, des photos de chatons aux transactions par carte bancaire... ou aux e-mails.

Des chatons à l'hameçonnage 

L'IA offre d'énormes possibilités pour la protection anti-hameçonnage. Elle n'a pas besoin d'une correspondance exacte pour détecter un élément douteux. Un cybercriminel peut tenter d'altérer le langage ou le code HTML d'un e-mail pour qu'il ne ressemble à rien de ce que le scanner anti-hameçonnage a déjà vu. Un outil anti-hameçonnage traditionnel ne trouverait sans doute aucune correspondance et laisserait passer cet e-mail. Un système d'apprentissage automatique qui a vu suffisamment d’e-mails d’hameçonnage trouvera néanmoins dans cet e-mail des signaux assez significatifs pour le notifier comme problématique.

Mais l'apprentissage automatique va bien au-delà de la simple analyse du contenu des e-mails. Chaque e-mail contient des informations supplémentaires, les métadonnées. Elles fournissent des informations sur l'e-mail, notamment le domaine d’où il provient, le nom du destinataire et si d'autres membres de l'entreprise l'ont également reçu. Il existe des centaines de données de ce type. Ensemble, elles décrivent le comportement de cet e-mail.

L'IA est aussi capable d'analyser les e-mails pour déterminer leur niveau de menace. Elle peut comparer ces données à son modèle de comportement d'e-mail normal connu, afin de déterminer si l'e-mail concerné a un comportement inhabituel ou non. Ce collaborateur a-t-il déjà reçu un e-mail provenant de ce domaine ? Est-il habituel de recevoir des e-mails depuis ce pays à cette heure de la journée ? L'expéditeur a-t-il déjà ciblé plusieurs personnes de l'entreprise en même temps ?

Les capacités uniques de l'apprentissage automatique peuvent nous aider à bloquer quelques hameçonnages de plus. Mais ne nous réjouissons pas trop vite, les escrocs peuvent aussi s’en servir. Des modèles d'apprentissage automatique plus puissants permettent déjà aux chercheurs d'écrire des e-mails d’hameçonnage convaincants. Dans ce jeu du chat et de la souris permanent entre cyberattaquants et défenseurs, tout change très vite.

La clé du succès : la science des données

Suite à la pandémie, l'IA et le ML (apprentissage machine) sont devenus les clés du succès des départements IT. Alors que de nombreuses entreprises ont investi dans des projets de formation de sensibilisation à la sécurité, il faut aussi donner la priorité et appliquer des technologies avancées d'automatisation, d'intelligence artificielle et d'apprentissage automatique pour identifier, vérifier et éliminer les menaces d'hameçonnage plus rapidement et de façon plus cohérente. Les RSSI savent qu'ils ne peuvent pas se contenter de compter seulement sur l’humain, faillible et facilement distrait, pour bloquer les activités des cybercriminels. Pour l'année à venir, la principale priorité de tous les RSSI doit être une approche de la sécurité complète et permanente, capable de détecter et de prévenir les menaces d'hameçonnage sans affecter l'accès des collaborateurs.