L'évolution de la cybercriminalité met les hackers au même niveau que les états

La cybercriminalité a évolué et s'est accélérée à un rythme inquiétant ces dernières années, de son émergence en tant que phénomène nouveau, à la création rapide d'un marché mondial de "services de cybercriminalité professionnels". Les tensions géopolitiques se reflètent aujourd'hui dans le cyberespace. En témoigne l'affaire Stuxnet en 2010.

Mais qu’en est-il lorsque cybercriminalité et guerre menée par les États-nations se rejoignent ? Lors de la conférence RSA qui s’est récemment tenue à San Francisco, Patrick Wardle, ancien membre de l’Agence de Sécurité Nationale (NSA), a mis l’accent sur une évolution alarmante : des hackers, précédemment limités par un manque de ressources et de compétences, récupèrent et recyclent facilement des logiciels malveillants conçus par des États-nations. 

À l’aide d’un logiciel malveillant ciblant les Mac d’Apple, M. Wardle a démontré combien il peut être simple et rapide de recycler des outils d’attaque, affirmant par la même occasion que des milliers de cybercriminels sont en train de faire exactement la même chose avec un cyberarmement bien plus avancé, voire même élaboré par des États, récoltant les fruits des dépenses publiques et du savoir-faire ayant servi à son développement. La création de nouveaux outils d’attaque réclame beaucoup de temps, d’argent et d’efforts ; pourquoi les hackers ne mettraient-ils pas à profit leur expertise technique pour se contenter de recycler ce qui se fait déjà de mieux ? En particulier lorsque cela complique considérablement l’attribution, assurant aux cybercriminels l’anonymat qu’ils recherchent. 

Cela fait déjà un certain temps que les hackers réutilisent et recyclent leurs codes respectifs. L’outil de piratage de Windows EternalBlue, conçu par la NSA, puis volé et diffusé en 2017, a fait le tour de l’écosystème criminel pour être repris par divers groupes de hackers, montrant que les États-Unis avaient perdu le contrôle de leur arsenal de cybersécurité ; depuis, un certain nombre d’autres outils créés par des États, tels que Vault7 ou ShadowBrokers, ont aussi été lâchés dans la nature, pour finir par être utilisés à des fins offensives par des gangs de cybercriminels ou des adversaires des États-nations. En réalité, qu’il ait été diffusé illégalement ou qu’il ait simplement été exploité de manière opérationnelle, une fois qu’un cyberoutil est découvert dans la nature, il devient pour les cybercriminels un gibier qu’ils peuvent librement chasser, récupérer et recycler.

Il est donc de plus en plus facile d’utiliser des outils de niveau militaire, et les dommages physiques risquent d’être non négligeables. Les vulnérabilités introduites par la convergence des systèmes informatiques et de technologies opérationnelles (OT) sont déjà évidentes : les attaques par le ransomware WannaCry ont débuté dans les réseaux médicaux et  les entreprises, mais se sont étendues aux installations industrielles à travers l’Europe et l’Asie pour entraîner de longues périodes d’indisponibilité, marquant un tournant décisif dans la multiplication des cas de réseaux OT affectés par des logiciels malveillants qui ne leur étaient ni destinés, ni spécifiques. Tandis que les assaillants commencent à utiliser des outils créés par les États sans disposer des connaissances nécessaires pour les tester ou les déployer, nous pouvons nous attendre à un nombre croissant d’attaques ayant des conséquences imprévues et causant des dommages collatéraux dans le secteur OT, mettant plus que jamais en péril les infrastructures critiques. 

Bientôt, l’IA sera employée par les gouvernements à des fins offensives pour découvrir et concevoir de nouvelles méthodes d’attaque, et ces outils sophistiqués pourraient très bien sortir des laboratoires gouvernementaux et tomber entre les mains de criminels.

Cette évolution de la course au cyberarmement accroît le niveau de menace et met en échec les anciens outils de sécurité, poussant encore davantage les organisations à s’adapter ou à disparaître. Les cybercriminels adoptant des capacités d’État-nation, les organisations vont devoir intensifier leurs propres activités de sécurité pour suivre le rythme. M. Wardle lui-même a été prompt à lever toute ambiguïté : les défenses basées sur les signatures n’auront aucune chance contre ces outils d’attaque recyclés ; les logiciels malveillants redéployés peuvent aisément être modifiés pour échapper aux radars des outils classiques. 

En fin de compte, la cybercriminalité innove beaucoup plus rapidement que le secteur de la sécurité. Les éditeurs d’antivirus ne peuvent tout simplement pas créer de nouvelles signatures aussi vite que sont développées de nouvelles variantes de logiciels malveillants. Nos systèmes numériques étant devenus plus complexes que jamais, essayer de définir des règles qui prédisent comment un employé va utiliser tel ou tel système, ou comment devraient circuler les données internes, s’avère désormais un exercice futile. La cybersécurité dont nous avons besoin aujourd’hui, et qui sera essentielle demain, doit être indépendante des menaces et capable de contrer les attaques sans avoir à déterminer à quel type elles appartiennent.

Tenter de deviner à quoi ressembleront les attaques ne suffit plus, et il est impossible de le faire avec un quelconque degré de certitude ; ce qu’il faut aux organisations, c’est la compréhension en temps réel de ce à quoi ressemble le comportement « normal » de leur activité numérique. Si elles connaissent le comportement de leurs systèmes, les organisations peuvent surveiller en permanence les menaces émergentes et déjouer les attaques les plus avancées, même si le logiciel malveillant a été quelque peu modifié.

Ces outils d’attaque hypersophistiqués devenant chaque jour plus accessibles, des milliers d’organisations à travers le monde concèdent qu’il ne suffit plus d’engager des humains dans ce qui est à présent devenu un combat de machines. L’avenir des équipes de sécurité est hybride. Les moyens de défense basés sur l’IA offrent à ces organisations une compréhension complète de l’activité « normale » de leur espace numérique, amplifiant l’examen des menaces, décelant des schémas dans le bruit du réseau qui ne seraient pas détectés par les outils traditionnels, et faisant respecter de façon autonome cette « normalité » en répondant aux variations, à la vitesse machine, à mesure qu’elles surviennent.

Ce qui est tout particulièrement crucial ici, c’est l’apprentissage automatique non supervisé. Au lieu de se fier à une sélection d’exemples antérieurs ou à des ensembles de données potentiellement biaisées, les algorithmes d’apprentissage non supervisé analysent les informations en temps réel pour découvrir des anomalies et des schémas inattendus, sans étiquettes ou catégories fixes. Libéré du joug des données historiques relatives aux attaques, l’apprentissage automatique non supervisé peut analyser une masse de données en temps réel à une vitesse phénoménale, dévoilant des schémas et des anomalies qui échappent tant à l’œil humain qu’aux moyens de défense classiques.

Cette approche de la sécurité axée sur l’auto-apprentissage, dispensée du besoin de définir ou même de comprendre l’acteur de la menace, représente une étape importante de l’abandon vital de notre propension à regarder vers l’extérieur et à nous demander à quoi ressemblera la prochaine attaque, pour regarder vers l’intérieur et demander : à quoi ressemble l’univers numérique de mon organisation ?

Sachant cela, les organisations seront mieux à même d’aborder les prochaines phases de la course au cyberarmement. Avec le déploiement de l’IA par les assaillants, les systèmes de sécurité qui font appel à l’IA et prennent des décisions basées sur des données en temps réel à la vitesse machine, se révèreront d’autant plus importants. Les progrès des méthodes d’attaque doivent s’accompagner de progrès des moyens de défense ; la situation dégénère et devient incontrôlable, mais l’IA fait pencher la balance et peut permettre aux défenseurs d’être plus innovants que les criminels.