Les algorithmes dernier cri commencent à être sérieusement envisagés pour se défendre d’attaques toujours plus sophistiquées. Ces mêmes algorithmes, utilisés de manière offensive, pourraient faire évoluer les cyberattaques.

En avril 2018, des pirates informatiques mal intentionnés ont attaqué un casino et dérobé une base de données hautement confidentielle en hackant un thermomètre connecté présent dans l’un des aquariums du dit casino. L’histoire, aussi piquante que digne d’un James Bond, a fait le tour du web et a marqué les esprits un tant soit peu portés sur la cybersécurité.

Cela tombe bien : c’était exactement le but recherché par Nicole Eagan lorsqu’elle distilla cette anecdote au détour d’une conférence de presse. Une très bonne pub pour son entreprise, puisque c’est grâce à Darktrace et sa solution de cybersécurité, qu’il a été possible de détecter cette menace précise et d’autres tentatives d’intrusions similaires.

La homepage de Darktrace montre qu’elle compte de grosses entreprises françaises parmis ses clients.

En quelques années, Darktrace, en surfant sur la déferlante de l’IA, a su se faire un nom dans le monde de la cybersécurité, chiffres à l’appui : l’entreprise pèse plus d’un milliard de dollars, la solution est installée chez 7 000 clients dans le monde, dont 150 en France (on compte parmi eux des entreprises comme Peugeot, BNP Parisbas, Le Monde mais aussi des poids lourds du CAC 40 et les ministères de la Santé, des Armées et des Transports), elle emploie un peu moins de 1 000 personnes réparties dans 40 bureaux dans le monde et aurait déjà déjoué 60 000 attaques dans le monde – nombre très approximatif, puisqu’il s’agit de celles que les clients ont bien voulu remonter à Darktrace.

L’appel des lymphocytes

Son produit d’appel ? Une solution de cyberdéfense professionnelle carburant au machine learning, des algorithmes d’apprentissage automatique, en plein boom depuis le début de la décennie et estampillés « intelligence artificielle » à tout bout de champ, à tort ou à raison, par tout le monde, Darktrace compris.

Créés par des mathématiciens de Cambridge et des anciens agents du renseignement britannique en 2013, les algos de Darktrace peuvent, d’après l’entreprise, détecter, de manière très fine, des anomalies potentiellement dangereuses sur un réseau – intrusions extérieures, utilisations douteuses des machines et émissions/réceptions anormales de données. Quant à la recette top-secrète de fabrication, elle est « modélisée à partir du système immunitaire humain », comme on peut le lire un peu partout sur le site web et les supports de communication.

Les algorithmes de Darktrace peuvent, d’après l’entreprise, détecter, de manière très fine, des anomalies potentiellement dangereuses sur un réseau

Interrogé sur cette ô combien mystérieuse recette informatique, Emmanuel Meriot, directeur France et Espagne de Darktrace, reconnaît qu’il faut la voir comme une métaphore. Non, les mathématiciens n’ont pas collaboré avec des biologistes pour étudier en détail nos globules blancs pour en reproduire le comportement. Ce que souhaite simplement expliquer Darktrace, c’est que sa solution «  Enterprise Immune System » agit en deux temps : d’abord, la détection des menaces et, le cas échéant et si le client a activé l’option, une coupure automatique des ponts avec l’extérieur. Un peu comme dans notre système immunitaire.

Petite vidéo de promotion d’Antigena, le produit de Darktrace qui coupe les ponts avec l’extérieur en cas d’anomalie. La référence à l’immunologie est omniprésente – les images de synthèses aussi.

Vers l’inconnu et l’anormal

Plus modestement, Darktrace « permet d’appréhender l’inconnu », résume M. Meriot. Installée chez un client, la solution observe d’elle-même tout ce qui se passe pour créer un schéma de normalité en analysant 350 critères sur le réseau (par exemple : heures et lieux de connexion, nombre d’e-mails reçus par jour, débit d’informations transférées). Des milliers (voire des millions) de données que les algorithmes auto-appréhendent pour signaler quand ça va ou quand ça ne va pas.

La solution observe d’elle-même tout ce qui se passe pour créer un schéma de normalité

Sur son site web, Darktrace nous fait part de quelques-uns de ses faits d’armes, moins croustillants que l’aquarium, certes, mais quand même : prise en flagrant délit d’un employé mécontent sur le point d’être lourdé en train de dérober un volume important de données client en les téléchargeant vers son compte Dropbox ; un autre employé surpris en train d’établir une opération rentable de minage de Bitcoin sur le réseau de son entreprise ; ou encore une attaque déjouée lors d’une visioconférence où le hacker mal intentionné essayait de récupérer le flux audio de réunions confidentielles.

Une tablette connectée prise la main dans le sac

Interrogé par Cyberguerre, un responsable de la sécurité d’une startup française forte d’une centaine d’employés, possédant des données ultra-sensibles et cliente de Darktrace, confirme que la solution est capable de détecter des anomalies improbables. « J’ai fait des tests intrusifs et ça m’a bien plu car ça Darktrace attrapait pas mal de mes outils offensifs », explique-t-il.

Une démonstration en vidéo de l’utilisation d’Enterprise Immune System pour suivre une activité suspecte. Vidéo issue de la chaîne officielle de Darktrace sur Vimeo.

Un jour, Darktrace a même détecté une communication avec la Chine effectuée via le socle d’une tablette connectée utilisée pour les réunions. « Ce n’était pas de l’espionnage industriel. Mais pour nous, ça n’était pas acceptable et je ne suis pas sûr qu’un outil autre que Darktrace l’aurait vu », continue-t-il.

Le responsable de la sécurité reconnaît deux autres qualités aux algorithmes : très peu de maintenance et très peu de faux positifs, autrement dit des anomalies signalées qui n’en seraient pas. Prix de ce confort pour cette startup : environ 4 000 euros par mois. Le prix serait bien plus élevé pour une entreprise plus importante, comportant davantage de postes de travail et d’activité sur son réseau.

Avant de pointer une limite cruciale : puisque Darktrace évalue la normalité d’un réseau à un instant T, il peut se planter sur son schéma de normalité si le réseau est infecté dès le départ avec, par exemple, des attaques dormantes qui n’ont pas encore été détectées.

« Champions du marketing »

Darktrace, et son principal concurrent Vectra.ai sont des « champions du marketing », tempère une consultante qui a installé Darktrace chez plusieurs de ses clients. « Leur produit n’est pas mauvais mais il est très ‘shiny’. Beaucoup de nos clients chez qui nous l’avons déployé n’y ont pas trouvé leur compte, ça ne fonctionne pas aussi bien que sur leurs plaquettes marketing ».

Dans un tout autre registre que Darktrace, Vectra.ai possède également une charte graphique aussi pimpée qu’attrayante.

Gérôme Billois, en charge des questions de cybersécurité pour le cabinet Wavestone, recontextualise les choses. Si Darktrace et Vectra.ai ressortent du lot par leur communication léchée, il ne faut pas oublier que certains géants, comme IBM avec sa solution Qradar, sont aussi sur le créneau. Et surtout, les grosses boîtes développent elles-mêmes leurs algorithmes de machine learning pour se défendre. Du sur-mesure qui peut se révéler plus efficace qu’une solution toute prête comme Darktrace, malgré sa capacité à appréhender l’inconnu.

Autres terrains de jeu

Dans un secteur voisin et sur un registre plus sobre, la société américaine Cylance s’est aussi fait un nom. Rachetée 1,4 milliard de dollars en novembre dernier par BlackBerry, cette entreprise américaine commercialise l’antivirus du futur, basé sur une IA capable d’identifier et de bloquer les malwares connus et inconnus pour protéger les postes de travail. Argument principal mis en avant par Cylance : l’IA permet de faire une prévention quasi sans faille, ce que ne permettrait pas un antivirus traditionnel.

Outre la protection contre les intrusions et les virus, l’IA s’est également révélée utile dans un autre secteur, celle de la détection des fraudes bancaires. La Société Générale, par exemple, utilise le machine learning pour établir un schéma des habitudes des clients (comme Darktrace qui définit une normalité) et repérer tout comportement qui s’écarterait dangereusement de la routine.

Inversion des rôles

Si l’IA permet de se défendre, le problème se pose évidemment dans l’autre sens. Et si l’IA permettait de faire de meilleures attaques ? « Elles ne sont pas encore très développées, explique Gérôme Billois. Les attaques se font surtout à titre expérimental ».

Les IA offensives pourraient, par exemple, exceller dans le phishing et notamment dans le « spear phishing ». En se formant sur des milliers de corpus de textes publics ou confidentiels, elles pourraient générer des messages ultra-personnalisés et ciblés selon les victimes, plutôt que de délivrer des messages génériques.

La DGSE bâtit elle aussi son Darktrace maison

Le stade supérieur pourrait être une automatisation des « arnaques au Président », attaque dans laquelle le pirate se fait passer pour un supérieur et dont Pathé a récemment fait les frais. Le simple essor des « deepfakes », permettant d’intervertir des visages ou des personnages sur une vidéo, donne un avant-goût des usurpations d’identité qui pourraient peupler le futur.

Battle d’algos

La tonalité de cet avenir plausible s’est matérialisée en 2016, lors du Cyber Grand Challenges organisé par l’agence de recherche de l’armée américaine, le DARPA. Des équipes de codeurs ont dressé des IA capables de s’affronter au jeu du « Capture the Flag » où il s’agit, en gros, d’aller trouver des failles de sécurité et dérober des données… mais, sans intervention humaine. Il s’agissait d’une première mondiale.

Vidéo réalisée par le DARPA expliquant le principe du “Capture The Flag”, auxquels les enfants jouent dans la vraie vie…et les hackers sur les réseaux. En 2016, des ordinateurs y jouaient pour la première fois de manière “autonome”.

Dans les services secrets français, les sirènes prometteuses de l’IA chantonnent aussi. Il suffit de jeter un œil aux offres de stage technique récemment publiées par la DGSE. Sur les 153 offres, sept d’entre elles impliquent du machine learning. Il y a bien sûr du défensif car la DGSE bâtit elle aussi son Darktrace maison. Mais on y trouve également de l’offensif, à l’instar de cette offre de stage intitulée « Plateforme d’évaluation de sécurité par canaux auxilliaires » où l’apprenant devra notamment « retrouver des données sensibles en étudiant les fuites involontaires ».

Deuxième retournement

Reste un point à analyser : le fait que beaucoup d’infrastructures commencent à utiliser de l’IA dans leur domaine d’activité, hors cybersécurité, est en train de créer de nouvelles vulnérabilités sur le terrain de la cybersécurité.

Selon Gérôme Billois, trois grandes problématiques sont en train d’apparaître : « l’empoisonnement », ou le fait de détourner une IA de son usage initial pendant sa période d’apprentissage, avec cet exemple emblématique du chatbot de Microsoft devenu raciste ; les attaques par « inférence » consistant à faire parler l’IA et tenter de voir quelles données elle manipule ; et enfin « l’illusion » ou le fait de berner un algorithme de reconnaissance d’image d’une voiture autonome en détournant un panneau stop.

Et le consultant de conclure : « Je pense que le rôle de l’IA sera redoutable d’ici 2024/2026 quand les algorithmes seront très efficaces dans l’attaque et la protection. Pour l’instant, on déconseille à nos clients d’investir massivement dans l’IA. Il vaut mieux faire des expérimentations. »

Partager sur les réseaux sociaux